Группа исследователей из ReasonLabs выявила активную масштабную киберкампанию, в ходе которой используется троян для установки мошеннических расширений в браузерах Google Chrome и Microsoft Edge. По оценкам специалистов, вредоносное ПО уже поразило более 300 000 пользователей.
Заражение происходит через фальшивые веб-сайты, которые маскируются под известное программное обеспечение, такое как Roblox FPS Unlocker, YouTube, VLC media player, Steam и KeePass. Злоумышленники активно используют вредоносную рекламу, чтобы перенаправлять пользователей на эти поддельные ресурсы и побуждать их скачивать зараженные файлы.
После установки вредоносного расширения происходит изменение системных настроек Windows, включая реестр. Это позволяет трояну принудительно устанавливать расширения в браузеры, которые затем невозможно отключить стандартными методами. Эти расширения перехватывают поисковые запросы и перенаправляют их на серверы, контролируемые злоумышленниками (Codeby Security Forum) (Tech News & Reviews).
Троян регистрирует задачи, которые запускают PowerShell-скрипты для загрузки дополнительных вредоносных модулей с удаленных серверов. Эти модули имеют широкий спектр функций — от кражи личных данных до исполнения команд, поступающих с серверов управления. Также троян может отключать обновления браузеров, предотвращая попытки устранения угрозы (Tech News & Reviews).
Вредоносное ПО способно перехватывать и модифицировать веб-запросы, что позволяет злоумышленникам контролировать онлайн-активность пользователя. Кроме того, троян может загружать скрипты на посещаемые страницы, что увеличивает риск компрометации данных.
Эта кампания является примером того, насколько сложными и многоэтапными могут быть современные киберугрозы. Она демонстрирует необходимость повышения осведомленности пользователей о кибербезопасности.
