ReasonLabs의 보안 연구원들은 엔드포인트에 악성 브라우저 확장 프로그램을 강제로 설치하는 새로운 광범위하고 지속적인 다형성 맬웨어 캠페인을 발견했습니다.
전 세계적으로 확산되고 있는 설치 프로그램과 확장 프로그램은 Google Chrome과 Microsoft Edge에서 최소 30만 명의 사용자에게 영향을 미쳐, 브라우저 실행 파일을 수정하여 홈페이지를 하이재킹하고 검색 기록을 훔쳤습니다.
일반적으로 바이러스 백신 도구로는 감지되지 않는 트로이 목마 맬웨어에는 검색을 장악하는 간단한 애드웨어 확장 프로그램부터 로컬 확장 프로그램을 전달하여 개인 데이터를 훔치고 감염된 장치에서 다양한 명령을 실행하는 보다 복잡한 악성 스크립트까지 다양한 전달물이 포함되어 있습니다.
2021년부터 이 트로이 목마 맬웨어는 온라인 게임과 비디오에 대한 다운로드 및 추가 기능을 제공하는 모방 웹사이트에서 유래되었습니다.
맬웨어는 어떻게 작동합니까?
ReasonLabs는 감염이 피해자가 Google 검색 결과에서 멀버타이징으로 마케팅된 가짜 웹사이트를 통해 소프트웨어 설치 프로그램을 다운로드하는 것으로 시작된다고 말했습니다. 광고주는 Roblox FPS Unlocker, YouTube, VLC Media Player 또는 KeePass와 같은 다운로드 사이트의 모방을 사용합니다. 이러한 가짜 웹사이트에서 다운로드한 실행 파일은 의도한 소프트웨어를 설치하려고 시도하지 않고 대신 트로이 목마를 배포합니다.
ReasonLabs 연구원들은 “사용자가 유사 웹사이트에서 프로그램을 다운로드하면 해당 프로그램은 Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1, NvOptimizerTaskUpdater_V2와 같은 PowerShell 스크립트 파일 이름 패턴을 따르는 가명을 사용하여 예약된 작업을 등록합니다.”라고 말했습니다.
“이것은 “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″과 비슷한 이름의 PowerShell 스크립트를 실행하도록 구성되어 있습니다. PowerShell 스크립트는 원격 서버에서 페이로드를 다운로드하여 컴퓨터에서 실행합니다.”
PowerShell 스크립트는 system32 폴더에 작성되고, 여기서 C2에서 2단계 스크립트를 직접 메모리로 호출합니다. PowerShell 스크립트가 마침내 실행되면 레지스트리 값을 추가하여 악성 확장 프로그램을 강제로 설치합니다. 이러한 확장 프로그램은 검색 쿼리를 훔쳐 적의 검색을 통해 리디렉션하여 개발자 모드가 ‘ON’ 상태여도 감지할 수 없게 만듭니다.
그런 다음 스크립트는 Chrome 및 Edge 레지스트리 키를 수정하여 악성 확장 프로그램을 설치하여 일반 브라우저 설정을 통해 비활성화하는 것을 더욱 어렵게 만듭니다. 확장 프로그램은 알려진 검색 엔진의 검색을 하이재킹하고 공격자가 제어하는 도메인을 통해 리디렉션한 다음 Yahoo나 Bing과 같은 합법적인 검색 엔진의 결과를 최종적으로 표시하는 등 여러 가지 악성 활동을 수행합니다.
ReasonLabs는 트로이 목마의 최신 반복 버전이 Google Chrome 및 Microsoft Edge에서 사용하는 핵심 브라우저 DLL 파일을 수정하여 브라우저 홈페이지를 위협 행위자의 제어 하에 있는 홈페이지로 캡처한다고 보고했습니다. https://마이크로서치[.]나/.
ReasonLabs는 “이 스크립트의 목적은 브라우저의 DLL(Edge가 기본 브라우저인 경우 msedge.dll)을 찾고 해당 DLL 내의 특정 위치에서 특정 바이트를 변경하는 것입니다.”라고 설명합니다.
“그렇게 하면 스크립트가 Bing 또는 Google의 기본 검색을 하이재킹하여 적의 검색 포털로 보낼 수 있습니다. 설치된 브라우저 버전을 확인하고 그에 따라 바이트를 검색합니다.”
ReasonLabs 연구팀이 침해 사실을 발견하자마자 Google과 Microsoft에 즉시 알렸습니다. Microsoft는 Edge Add-on Store에서 식별된 모든 악성 확장 프로그램을 제거했지만, 일부 연루된 확장 프로그램은 여전히 Google Chrome 웹 스토어에 있습니다.
사용자들은 신뢰할 수 있는 출처에서만 확장 프로그램을 다운로드하고, 알 수 없는 웹사이트에서 소프트웨어를 다운로드하는 것에는 주의하고, 바이러스 백신 소프트웨어를 최신 상태로 유지하는 것이 권고됩니다.