افزونه ‌های مخرب، بیش از ۳۰۰ هزار مرورگر Chrome و Edge را آلوده کردند

متخصصان امنیت سایبری شرکت ReasonLab، یک دسته حملات بدافزاری گسترده، فعال و در حال انجام را شناسایی کرده‌اند که افزونه ‌های مخرب مرورگر Chrome (گوگل کروم) و Microsoft Edge (مایکروسافت اج) را در بیش از سیصد هزار مرورگر نصب کرده‌اند.

این بدافزار، فایل‌های اجرایی مرورگر را برای ربودن صفحات اصلی و تاریخچه مرورگر (history) تغییر می‌دهد. این قبیل نصب کننده‌ها و افزونه‌ ها به گونه‌ای طراحی شده‌اند که معمولاً توسط ابزارهای آنتی ویروس شناسایی نمی‌شوند.

حملات این بدافزار، اولین بار در سال 2021 از طریق وب سایت‌های جعلی دانلود که افزونه بازی‌های آنلاین را ارائه می‌کردند، آغاز شده است. این حملات با دانلود نرم افزارهایی که سایت‌های جعلی را تبلیغ می‌کنند، آغاز می‌شوند. هکرها معمولا از موضوعات مختلفی برای تبلیغات مخرب به منظور نفوذ و ایجاد دسترسی اولیه استفاده می‌کنند.

علاوه بر این، نصب کننده‌های نرم افزار به صورت دیجیتالی توسط “Tommy Tech LTD” امضا شده‌اند و توانستند در زمان تجزیه و تحلیل توسط ReasonLab، آنتی ویروس VirusTotal را دور بزنند.

این نصب کننده‌ها یک اسکریپت Powershell دانلود شده از لینک “C:Windows-System32’PrintWorkflowService.ps1” را اجرا می کنند.

این لینک، منجر به دانلود پیلود از سرور راه دور هکرها و نصب آن بر روی سیستم قربانی می‌شود. اسکریپت، تغییراتی را در رجیستری ویندوز ایجاد می‌کند تا افزونه‌ ها را از فروشگاه وب Chrome و Microsoft Edge نصب نماید.

از سوی دیگر، یک تسک زمان بندی شده برای دانلود یک اسکریپت Powershell در فواصل زمانی خاص ایجاد می‌شود که به هکرها اجازه می‌دهد تا بتوانند بدافزارها و پیلودهای بیشتری را نصب و توزیع کنند.

این بدافزار، افزونه ‌های مختلفی را بر روی مرورگرهای Chrome و Microsoft Edge کاربر نصب می‌کند که عبارت‌های جستجو را رهگیری، صفحه اصلی را کپی و درخواست‌های جستجو را از طریق سرورهای هکرها هدایت می‌کنند تا بتوانند تاریخچه مرورگر را بربایند و کاربران را به سمت سایت‌ها یا صفحات تبلیغاتی مخرب هدایت کنند.

طبق گزارش کارشناسان ReasonLabs، افزونه ‌های مخرب زیر برای گوگل Chrome شناسایی شده‌اند:

Custom Search Bar – بیش از ۴۰ هزار کاربر این افزونه را نصب کرده‌اند.
yglSearch – بیش از ۴۰ هزار کاربر این افزونه را نصب کرده‌اند.
Qcom search bar – بیش از ۴۰ کاربر این افزونه را نصب کرده‌اند.
Qtr Search – بیش از ۶ هزار کاربر این افزونه را نصب کرده‌اند.
افزونه Micro Search – بیش از ۱۸۰ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Chrome حذف شده است).
Active Search Bar – بیش از ۲۰ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Chrome حذف شده است).
Your Search Bar – بیش از ۴۰ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Chrome حذف شده است).
Safe Search Eng – بیش از ۳۵ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Chrome حذف شده است).
Lax Search – بیش از ۶۰۰ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Chrome حذف شده است).

افزونه‌ های مخربی که برای Microsoft Edge شناسایی شده‌اند نیز به شرح زیر می‌باشند:

Simple New Tab – بیش از ۱۰۰ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).
Cleaner New Tab – بیش از ۲ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).
NewTab Wonders – بیش از ۷ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).
SearchNukes – بیش از هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).
EXYZ Search – بیش از هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).
Wonders Tab – بیش از ۶ هزار کاربر این افزونه را نصب کرده‌اند (این افرونه در حال حاضر از فروشگاه Edge حذف شده است).

این افزونه ‌ها می‌توانند داده‌های لاگین ذخیره شده، تاریخچه مرورگر و سایر اطلاعات حساس را رهگیری و دستورات دریافتی از سرور فرماندهی و کنترل را اجرا کنند و به هکرها اجازه دهند تا بر فعالیت شبکه کاربر نظارت نمایند.

جالب است که این افزونه‌ ها در قسمت مدیریت افزونه‌ های مرورگر، حتی در صورت فعال بودن حالت توسعه دهنده، از دید کابر پنهان می‌مانند. از این رو، شناسایی و حذف آنها دشوار است.

به گفته کارشناسان، این بدافزار از روش‌های مختلفی برای استقرار در سیستم استفاده می‌کند و برای حذف کامل آن می‌بایست مرورگر را حذف کرده و مجددا نصب نمایید.

پیلودهای PowerShell تمامی لینک‌های شورتکات مرورگر وب را جستجو و اصلاح می‌کنند تا افزونه‌ های مخرب دانلود شوند و مکانیزم به روزرسانی خودکار مرورگر هنگام راه اندازی مرورگر غیرفعال گردد.

این کار برای جلوگیری از به ‌روزرسانی محافظ‌های داخلی Chrome و شناسایی بدافزار انجام می‌شود و از نصب به‌ روزرسانی‌های امنیتی آینده نیز ممانعت می‌کند. از این رو، مرورگرهای Chrome و Edge در معرض آسیب‌ پذیری‌های جدید قرار خواهند گرفت.

از آنجایی که بسیاری از کاربران متکی به فرآیند به ‌روزرسانی خودکار Chrome هستند و آن را به صورت دستی انجام نمی‌دهند، ممکن است این بدافزار برای مدت طولانی شناسایی نشود.

اما این همه ماجرا نیست. این بدافزار فایل‌های DLL مورد استفاده گوگل Chrome و Microsoft Edge را تغییر میدهد. هدف از این کار، تغییر صفحه اصلی مرورگر به صفحه‌ای است که توسط هکرها کنترل می‌شود (مانند https://microsearch[.]me ).

هدف نهایی اسکریپت‌ها، یافتن فایل‌های DLL مرورگر و تغییر بایت‌های خاص در مکان‌های خاص می‌باشد. ( msedge.dll در صورتی که مرورگر Edge پیش فرض باشد). این موضوع به اسکریپت اجازه می‌دهد تا حالت جستجوی پیش فرض را از Bing یا Google به پورتال جستجوی هکرها، تغییر دهد. همچنین بدافزار براساس نسخه نصب شده مرورگر، بایت‌ها را تکرار می‌کند.

تنها راه خلاص شدن از این تغییرات، ارتقاء به نسخه جدید مرورگر یا نصب مجدد آن است که باید جایگزین فایل‌های قبلی شود.

حذف کلیدهای رجیستری

شما به منظور حذف کامل بدافزار و کلیدهای رجیستری، می‌بایست یک فرآیند چند مرحله‌ای را دنبال کنید:

۱. ابتدا باید تسک زمان بندی شده را از scheduled task ویندوز حذف کرده و به دنبال ورودی‌های مشکوکی باشید که به اسکریپ‌هایی مانند NvWinSearchOptimizer.ps1 (و معمولا در C:\Windows\system32\ قرار گرفته‌اند) اشاره دارند.

۲. شما می‌بایست در مرحله دوم، با باز کردن ویرایشگر رجیستری ویندوز (regedit) و پیمایش به مسیرهای زیر، ورودی‌های رجیستری مخرب را حذف کنید:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOC

۳. اکنون می‌بایست روی هر کلید با نام افزونه مخرب کلیک راست کرده و برای حذف آنها، “Delete” را انتخاب نمایید.

۴. در نهایت، یا با استفاده از ابزار آنتی ویروس برای حذف فایل‌های بدافزار اقدام کنید و یا به “C:\Windows\System32″ رفته و ” NvWinSearchOptimizer.ps1″ (یا مشابه آن) را حذف کنید.

نصب مجدد مرورگر پس از فرآیند پاکسازی ممکن است مورد نیاز نباشد، اما به دلیل تغییرات بسیار تهاجمی که توسط بدافزار انجام شده است، توصیه می‌گردد این کار صورت پذیرد.