پژوهشگران امنیتی ReasonLabs کمپین بدافزاری گسترده‌ای را کشف کرده‌اند که هم‌اکنون فعال است و افزونه‌های مخرب را به‌اجبار روی سیستم قربانیان نصب می‌کند. این نصب‌کننده و افزونه‌ها که به‌صورت جهانی درحال گسترش هستند، حداقل ۳۰۰ هزار کاربر گوگل کروم و مایکروسافت اج را در معرض خطر قرار داده‌‌اند و با تغییر فایل‌های اجرایی مرورگر، تاریخچه‌ی مرور آن‌ها را سرقت می‌کنند.

بدافزارهای جدید شامل تعدادی افزونه‌ی ساده‌ی تبلیغاتی و اسکریپت‌های مخرب پیچیده‌تر هستند که برای سرقت داده‌های خصوصی و اجرای دستورات مختلف روی دستگاه‌های آلوده مورد استفاده قرار می‌گیرند. نکته‌ی مهم اینکه این بدافزارها معمولاً ابزارهای آنتی‌ویروس را دور می‌زنند.

بدافزارهای جدید از سال ۲۰۲۱ ازطریق وب‌سایت‌های دانلود جعلی‌ای که افزونه‌هایی برای بازی‌های آنلاین و ویدیوها ارائه می‌دهند، گسترش یافته‌اند.

به‌گفته‌ی ReasonLabs، سازندگان بدافزار تروجان، فایل نصب‌کننده‌ی آن را با عنوان‌های جعلی مختلف ازجمله Roblox FPS Unlocker ،Youtube ،VLC Media Player یا KeePass در وب‌سایت‌های خود ارائه می‌دهند تا کاربران را به دانلود و نصب بدافزار ترغیب کنند. فایل‌های اجرایی دانلودشده از این وب‌سایت‌های جعلی حتی نرم‌افزار مورد نظر کاربران را نصب نمی‌کنند و فقط تروجان‌ها را روی سیستم هدف قرار می‌دهد.

پژوهشگران ReasonLabs می‌گویند: «هنگامی که کاربران بدافزارها را از وب‌سایت جعلی دانلود می‌کنند، بدافزار با استفاده از نام مستعار مشابه الگوی نام فایل اسکریپت پاورشل ازجمله Updater_PrivacyBlocker_PR1 ،MicrosoftWindowsOptimizerUpdateTask_PR1 و NvOptimizerTaskUpdater_V2 اقدامات زمان‌بندی‌شده‌ای را انجام خواهد داد. بدافزار مورد اشاره برای اجرای اسکریپت پاورشل از نامی مشابه -File C:/Windows/System32/NvWinSearchOptimizer.ps1″ بهره می‌برد و پس‌ از اجرا، سایر فایل‌های مخرب را از سرور راه‌دور دانلود و روی دستگاه قربانی نصب می‌کند.»

اسکریپت پاورشل در پوشه‌ی system32 نوشته شده است که اسکریپت مرحله‌ی دوم را به‌طور مستقیم روی حافظه فراخوانی می‌کند. هنگامی که اسکریپت پاورشل اجرا شود، مقادیر رجیستری را برای اجبار نصب افزونه‌های مخرب به سیستم‌عامل اضافه می‌کند. این افزونه‌ها باعث می‌شوند کاربران هنگام جست‌وجوی وب در مرورگر، به وب‌سایت مورد نظر مهاجم هدایت شوند.

اسکریپت مخرب در مرحله‌ی بعد با تغییر کلیدهای رجیستری کروم و اج، افزونه‌های مخرب را نصب و غیرفعال‌کردن آن‌ها را حتی ازطریق تنظیمات معمولی مرورگر، سخت‌تر می‌کند. این افزونه‌ها چندین فعالیت مخرب انجام می‌دهند که ازجمله می‌توان به هدایت کاربر به وب‌سایت‌های مخرب هنگام استفاده از موتورهای جست‌وجوی شناخته‌شده اشاره کرد.

ReasonLabs می‌گوید جدیدترین نسخه‌ی بدافزار، فایل‌های DLL هسته‌ی مرورگر را که گوگل کروم و مایکروسافت اج از آن‌ها استفاده می‌کنند، برای هدایت کاربر از صفحه‌ی اصلی مرورگر به صفحه‌ی مورد نظر هکرها تغییر می‌دهد.

تیم تحقیقاتی ReasonLabs پس از کشف بدافزارهای جدید، گوگل و مایکروسافت را مطلع کرد. مایکروسافت همه‌ی افزونه‌های مخرب شناسایی‌شده را از فروشگاه افزونه‌های اج حذف کرده است، اما برخی از افزونه‌های مخرب هنوز هم در فروشگاه وب گوگل کروم وجود دارند.