Исследовательская группа ReasonLabs обнаружила масштабную вредоносную кампанию, нацеленную на пользователей Google Chrome и Microsoft Edge. Кампания охватила более 300 000 пользователей и использует троян для установки мошеннических расширений.
Вредоносное ПО распространяется через поддельные сайты, маскирующиеся под популярные программы, такие как Roblox FPS Unlocker, YouTube, VLC media player, Steam и KeePass. Злоумышленники используют вредоносную рекламу для обмана пользователей и загрузки трояна.
Троян, существующий с 2021 года, включает компоненты от рекламного ПО до сложных скриптов, крадущих личные данные. После загрузки троян выполняет скрипт PowerShell для загрузки следующего этапа с удалённого сервера.
Вредоносное ПО изменяет реестр Windows для принудительной установки расширений, перехватывающих поисковые запросы и перенаправляющих их через серверы злоумышленников. Расширения невозможно отключить, даже в режиме разработчика. Новые версии скрипта также блокируют обновления браузера.
Эта кампания напоминает другую, обнаруженную в декабре 2023 года, когда троянский установщик распространялся через торренты и устанавливал вредоносные расширения, маскирующиеся под VPN-приложения.