Hackers gebruiken kwaadaardige browserextensies om zowel Google Chrome als Microsoft Edge te infecteren met gevaarlijke malware die uw persoonlijke gegevens kan stelen en uw computer het risico van verdere aanvallen kan geven.
Zoals vermeld in het rapport HackernieuwsDe recent ontdekte malwarecampagne is sinds 2021 actief en tot nu toe zijn zeker 300.000 Chrome- en Edge-gebruikers het slachtoffer geworden.
Wat deze malware bijzonder gevaarlijk maakt, is het feit dat deze persistentie kan bewerkstelligen op geïnfecteerde computers. Dit betekent dat zelfs als u de kwaadaardige extensie verwijdert, de malware zichzelf opnieuw zal activeren de volgende keer dat u uw computer opnieuw opstart.
Hier vindt u alles wat u moet weten over deze malwarecampagne en hoe u de kwaadaardige extensie die erin wordt gebruikt voor eens en voor altijd kunt verwijderen.
Kwaadaardige advertenties gebruiken om nepwebsites te pushen
Net als andere malwarecampagnes gebruikt deze campagne kwaadaardige advertenties om onoplettende gebruikers te misleiden zodat ze gevaarlijke software downloaden en installeren.
De hackers achter deze operatie hebben soortgelijke sites gemaakt die populaire software en services nabootsen, zoals Roblox FPS Unlocker, YouTube, VLC mediaspeler, Steam of Keepass. Terwijl potentiële slachtoffers denken dat ze legitieme software of extensies installeren, downloaden ze in werkelijkheid een Trojaans paard dat de kwaadaardige extensies installeert die door dit kwaadaardige programma worden gebruikt.
De digitaal ondertekende kwaadaardige installatieprogramma’s die in deze campagne worden gebruikt, registreren een geplande taak op kwetsbare computers, die vervolgens een PowerShell-script uitvoert dat de payload voor de volgende fase downloadt en deze uitvoert vanaf een externe server die wordt beheerd door een hacker.
Als onderdeel van deze volgende fase wijzigt de malware het Windows-register op geïnfecteerde computers om hen te dwingen Chrome- en Edge-extensies te installeren die worden gebruikt bij advertentiefraude door zoekopdrachten op Google en Bing te kapen en deze vervolgens om te leiden via de servers van de hackers. . Tot overmaat van ramp kunnen nieuwere versies van deze malware voorkomen dat browserupdates worden geïnstalleerd, waardoor slachtoffers het risico lopen op verdere aanvallen.
Gelukkig is er een oplossing, maar die vereist wel enige technische kennis.
Hoe u dit schadelijke programma voor altijd van uw computer kunt verwijderen
in Bloggen Bij het beschrijven van de bevindingen van zijn beveiligingsonderzoekers geeft ReasonLabs meer details over hoe u deze malware en de kwaadaardige extensies die in deze campagne worden gebruikt, op de juiste manier van uw computer kunt verwijderen.
Allereerst moet u de geplande taak van uw computer verwijderen. Dit gebeurt door te klikken Startmenu Of druk op Windows-toets op uw toetsenbord en zoek vervolgens naar Taakplanning.
Zodra de Taakplanner wordt geopend, moet u op klikken Bibliotheek voor taakplanning Om alle taken op uw computer weer te geven. Hoewel de naam van de taak die door deze malware wordt gebruikt varieert, kunt u deze identificeren door op de taken te klikken, deze te openen en vervolgens op te klikken proceduresIn onderstaande tabel kunt u de procedures bekijken details Hier wilt u zoeken naar een pad naar “c:\windows\system32” en een PowerShell-script of -bestand dat eindigt op “.ps1”. ReasonLabs merkt op dat de naam van de taak vaak vergelijkbaar zal zijn met de naam van een PowerShell-script. Zodra u de kwaadaardige taak hebt gevonden, klikt u met de rechtermuisknop op de naam en klikt u vervolgens op Veeg.
Vervolgens moet u de registersleutels verwijderen die kwaadaardige extensies in uw browser forceren. Dit is moeilijker, maar je kunt openen Register-editor Op dezelfde manier als u deed met de Taakplanner. Maar houd er rekening mee dat u niet met het register van uw computer moet rommelen, tenzij u zich volledig bewust bent van wat u doet. Vraag bij twijfel een vriend om hulp of breng uw computer naar een specialist.
Wanneer de register-editor wordt geopend, moet u naar “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist” gaan. In het rechterdeelvenster ziet u een lijst met extensies met de numerieke waarde “Naam” en extensie-ID “Gegevens”. Klik vervolgens met de rechtermuisknop op de naam en klik VeegU moet dit ook doen voor deze registersleutel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist.”
Omdat deze malware zowel Chrome als Edge treft, moet u hetzelfde proces voor Edge-extensies herhalen op dit pad: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist”.
Hoewel u zelf malwarebestanden kunt verwijderen, kunt u er beter één gebruiken De beste antivirusprogramma’s Er zijn oplossingen om dit voor u te doen. Als u dit handmatig wilt doen, kunt u instructies vinden aan het einde van de ReasonLabs-blogpost die hierboven is gelinkt.
Het doorlopen van het proces van het verwijderen van deze kwaadaardige extensies en de malware die ze op uw computer hebben geplaatst, zal waarschijnlijk meer dan voldoende zijn om ervoor te zorgen dat u twee keer nadenkt voordat u nieuwe software of browserextensies van onbetrouwbare bronnen downloadt. Als u een nieuwe extensie wilt downloaden, kunt u dit doen via de Chrome Web Store of de Microsoft Edge Extension Store.
Meer uit Tom’s gids
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
