Multi-License Discount Quote
脅威データベース Malware Extension Trojan Malware

Extension Trojan Malware

Malware, TrojansMezoまで
翻訳内容:
日本語

大規模なマルウェア キャンペーンが検出されました。このキャンペーンは、人気のソフトウェアを装った偽の Web サイトから配布されるトロイの木馬を通じて、偽の Google Chrome および Microsoft Edge 拡張機能をインストールすることでユーザーをターゲットにします。このトロイの木馬は、検索をハイジャックする基本的なアドウェア拡張機能から、個人データを収集してさまざまなコマンドを実行するように設計されたローカル拡張機能をインストールする、より高度で危険なスクリプトまで、さまざまなペイロードを展開します。2021 年から活動しているこのトロイの木馬は、オンライン ゲームやビデオのアドオンを提供する偽のダウンロード Web サイトから発信されています。

影響を受けるユーザー数十万人

このマルウェアとそれに関連する拡張機能は、Google Chrome と Microsoft Edge の 30 万人以上のユーザーに影響を与えており、脅威の広範囲にわたる性質を実証しています。

このキャンペーンの中心となるのは、マルバタイジングを使用して、Roblox FPS Unlocker、YouTube、VLC メディア プレーヤー、Steam、KeePass などのよく知られたソフトウェアを模倣した偽の Web サイトにユーザーを誘導することです。これらのサイトは、これらのプログラムを検索しているユーザーを騙してトロイの木馬をダウンロードさせ、不正なブラウザー拡張機能をインストールします。

デジタル署名された破損したインストーラーは、PowerShell スクリプトをトリガーするスケジュールされたタスクを設定します。このスクリプトは、リモート サーバーから次の段階のペイロードをダウンロードして実行する役割を担っています。

攻撃者は侵入したデバイスに新しいブラウザをインストールする

これには、Windows レジストリを変更して Chrome ウェブ ストアと Microsoft Edge アドオンからの拡張機能を強制的に挿入することが含まれます。これにより、Google と Microsoft Bing の検索クエリが乗っ取られ、攻撃者が管理するサーバーにリダイレクトされる可能性があります。

この拡張機能は、開発者モードが有効になっている場合でも削除できないように設計されています。スクリプトの最新バージョンでは、ブラウザの更新も無効になっています。さらに、コマンド アンド コントロール (C2) サーバーから直接ダウンロードされたローカル拡張機能を展開します。この拡張機能には、すべての Web リクエストを傍受してサーバーに中継し、コマンドと暗号化されたスクリプトを実行し、すべての Web ページにスクリプトを挿入する広範な機能が備わっています。

さらに、Ask.com、Bing、Google からの検索クエリを乗っ取り、他の検索エンジンに渡す前に自社のサーバー経由で再ルーティングします。

影響を受けるユーザーは行動を起こす必要があります

マルウェア攻撃の影響を受けたユーザーは、問題を軽減するために次の手順を実行する必要があります。

  • マルウェアを毎日再アクティブ化するスケジュールされたタスクを削除します。
  • 関連するレジストリ キーを削除します。
  • システムから次のファイルとフォルダを削除します。

C:\Windows\system32\プライバシーブロッカーwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 バージョン)

C:\Windows\system32\kondserp_optimizer.ps1 (2024 年 5 月バージョン)

C:\Windows\内部カーネルグリッド

C:\Windows\内部カーネルグリッド3

C:\Windows\内部カーネルグリッド4

C:\Windows\ShellServiceLog

C:\windows\プライバシー保護ログ

C:\Windows\NvOptimizerLog

この種の攻撃は前例がないわけではありません。2023年12月には、トレントを通じて配布されたトロイの木馬インストーラーを含む同様のキャンペーンが報告されました。このインストーラーはVPNアプリを装っていましたが、実際には「キャッシュバックアクティビティハック」を実行するように設計されていました。

トレンド

Pomochit Ransomware

Ransomware
今日のデジタル時代では、マルウェアの脅威からデバイスを保護することは、個人にとっても組織にとっても同様に重要です。特に、ランサムウェア攻撃は深刻な経済的損失や機密データの漏洩につながる可能性があるため、強力なセキュリティ対策を実装することが不可欠です。 Pomochit ランサムウェアの概要 Pomochit は、サイバーセキュリティ研究者によって特定された、最近発見されたランサムウェアの脅...

ゴシップフェストクラブ

Rogue Websites, Browser Hijackers
サイバー脅威が絶えず進化する中、研究者はユーザーを騙して有害な活動を促進するために設計された新しい不正なウェブサイト、Gossipfeast.club を特定しました。信頼できないウェブサイトの分析中に、Gossipfeast.club は偽の CAPTCHA テストを使用してブラウザ通知スパムをプッシュし、訪問者を潜在的に悪意のあるサイトにリダイレクトする点で際立っていました。この記事では...

BrowserConnection

Mac Malware, Adware, 望ましくない可能性のあるプログラム
侵入的で信頼できないアプリの分析中に、サイバーセキュリティ研究者は、Mac ユーザーを特にターゲットにした不正なアプリケーション「BrowserConnection」を発見しました。このアドウェアは悪名高い AdLoad マルウェア ファミリーの一部であり、影響を受けるすべての人にとって大きな懸念を引き起こしています。 BrowserConnection はアドウェアのカテゴリに分類されます...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
84,064
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

Issue
65,264
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
64,526
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...