Chrome Архіви - Блог Грідінсофт

Фахівці з кібербезпеки попереджають про хвилю розповсюдження шкідливих програм, спрямованих на потенційних користувачів деяких найпопулярніших програм. Зловмисники використовують методи зловмисної реклами, щоб успішно розповсюджувати програму встановлення шкідливого програмного забезпечення. Схема має значний рівень успіху, оскільки до певної міри вже налаштовує своїх жертв на високий рівень довіри та відчуття легітимності. У проведенні зловмисної реклами хакери використовують ключові слова, пов’язані з шуканим програмним забезпеченням. А потім вони надають нічого не пяідозрюючим користувачам посилання для завантаження потрібного програмного забезпечення. Фахівці зазначають, що при таких типах загроз для забезпечення безпеки системи мають бути запроваджені сеанси безпеки, захист кінцевих точок та мережева фільтрація.

Зловмисні кампанії тривають майже три роки

Зловмисні кампанії тривають майже три роки. Діяльність зловмисного програмного забезпечення почалася у 2018 році з численних адрес C2, які зловмисники використовували протягом кожного місяця. Однак один із доменів stataready[.]icu хакери використовували як MagnatExtension C2 лише у січні 2019 року. Вони все ще використовують його в налаштуваннях, отриманих із серверів C2, як оновлений C2. У серпні цього року один з дослідників безпеки повідомив про відновлення кампанії зловмисної реклами на своїй сторінці в Twitter. Було опубліковано скріншоти рекламних оголошень і завантажено один із зразків.

#RedLineStealer being delivered through fake WeChat installers, coming from @GoogleAds .

.zip -> .iso -> .exehttps://t.co/J5npamHM1P

Creates a new user account, forwards RDP port, drops RDPWrap… Damn.

cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) August 9, 2021

Загрози здебільшого були націлені на Канаду (50% від загальної кількості атак), США та Австралію. Також вони зосередили свої зусилля на Норвегії, Іспанії та Італії. Фахівці з кібербезпеки додають, що автори зловмисного програмного забезпечення регулярно вдосконалюють методи своєї роботи, неприпинна активність яких, чітко вказує, що будуть і інші хвилі атак. Спеціалісти з використовуваного у атаках зловмисного програмного забезпечення класифікують, одне як стілер паролів, а інше, що є розширенням Chrome, банківським трояном. Використання третього елемента, зловмисного бекдору RDP, залишається незрозумілим для спеціалістів. Перші два можна використовувати для вилучення облікових даних користувачів і подальшого їх продажу або використання для власних майбутніх цілей. У той час як третій, RDP, хакери, швидше за все, будуть використовуват для подальшої експлуатації в системах або продадуть як доступ до RDP.

Атака проходить ступенево

Атака проходить ступенево. Користувач шукає потрібне програмне забезпечення, коли натрапляє на оголошення з посиланням. Це перенаправляє його на веб-сторінку, де він може завантажити шукане програмне забезпечення. Зловмисники дали завантаженням різні імена. Це може бути nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe та viber-25164.exe. Під час виконання він не встановлює фактичне шукане програмне забезпечення, а натомість починає виконання шкідливого завантажувача в системі. Програма встановлення, у свою чергу, деобфускує та починає виконання трьох інших шкідливих завантажень: стілер паролів (Redline або Azorult), інсталятора розширення Chrome і Backdoor RDP.

Фахівці класифікують інсталятор/завантажувач як інсталятор nullsoft, який декодує та скидає легітимний інтерпретатор AutoIt або архів SFX-7-Zip. Тут також є три заплутані скрипта AutoIt, які декодують остаточні завантаження в пам’ять та вводять їх в іншому процесі. Останні завантаження складаються з трьох шкідливих програм:

Програма встановлення розширення Chrome, що включає кілька шкідливих функцій крадіжки даних із веб-браузера: кейлоггер, скріншоттер, захоплювач форм, крадіжка файлів cookie та довільний виконавець JavaScript;

Викрадач паролів. Спочатку це був Azorult, а тепер Redline. Обидва мають функції крадіжки облікових даних, що зберігаються в системі. Вони досить відомі в спільноті;

Бекдор або бекдор інсталятор налаштовує систему для прихованого доступу до RDP, додає нового користувача і призначає заплановане завдання, а також періодично надсилає ping C2 і за інструкцією створює вихідний тунель ssh для відправки.

Mail Ru — це взагалі, російськомовний сайт, який надає сервіс пошукової системи, проте це ще вірус, що виконує насильне перенаправлення користувача, перехоплюючи контроль над користувацьким браузером. Вірус може генерувати безкінечні рекламні оголошення, перенаправляти пошукові запити користувача на інші сайти, додавати сумнівні розширення в браузері, але найголовніше ставить під загрозу конфіденційність та безпеку інформації користувача.

Mail Ru як і будь-який інший подібний вірус часто йде в одному пакеті з іншими безкоштовними програмами, і в більшості випадків таким чином потрапляє на комп’ютер користувача.

“Симптоми” присутності вірусу Mail Ru

Якщо ви помітили наступні “симптоми” на своєму комп’ютері, то це певна ознака присутності потенційно небажаної програми:

Змінилися домашня сторінка та URL нових вкладок браузера. Всі ваші пошукові запити мають, наприклад замість google.com mail.ru ;

Масово почала з’являтися різноманітна реклама на відвідуваних сайтах;

Всілякі намагання змінити що-небудь у налаштуваннях враженого браузера закінчуються знову поверненням до встановленої вірусом домашньої сторінки;

Як результат свого пошукового запиту ви почали отримувати посилання на сайти, які сумнівно мають щось спільне з тим, що шукалось.

Звісно найкраще вирішення проблеми, це її перш за все уникнути. А саме перед тим, як ви щось завантажуєте (особливо це стосується безкоштовного програмного забезпечення) з мережі, уважно прочитайте положення ліцензійної угоди з кінцевим користувачем (End User License Agreement, EULA). Багато неприємностей, що стосуються потенційно небажаного програмного забезпечення починаються саме звідси, коли користувач елементарно не перевірив, що саме він збирається завантажити на свій комп’ютер.

Mail Ru — це, як вже писалось, російський сайт, але це не означає, що ви можете підхопити цей вірус, якщо живете в цьому конкретному регіоні, відвідуєте російські сайти чи користуєтеся програмним забезпеченням створеним в цій країні. Насправді Mail Ru “подорожує” з різного сорту програмним забезпеченням, виконуючи свою шкідливу дію, як тільки потрапляє на чийсь комп’ютер.

Внизу ми підготували покрокові інструкції як позбутися Mail Ru на вашому комп’ютері. Також зверніть увагу, що вірус може ховатися за буквально будь-якою програмою і більша частина повторних заражень відбувається саме від того, що видалення проведено не повністю. Для цього наполегливо рекомендуємо додатково провести скан відповідним програмним забезпеченням.

Як видалити Mail Ru з операційної системи Windows?

Введіть Панель керування (Control Panel) у вікні пошуку Windows і натисніть Enter, або натисніть на результат пошуку.
Знайдіть розділ Керування програмами (Programs and Features).
Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Як видалити Mail Ru з MS Edge?

Видаліть розширення з MS Edge :

Відкрийте Edge і натисніть Меню ( три горизонтальних лінії в правому верхньому кутку).
Знайдіть Розширення (Extensions).
Видаліть всі підозрілі на вигляд розширення, натиснувши Видалити (Remove).

Очистіть кеш і дані сайту:

Натисніть Меню (Три горизонтальних лінії в правому верхньому кутку) і перейдіть до Налаштування (Settings).
Виберіть Конфіденційність та безпека (Privacy, search and services).
У розділі Очистити дані веб-перегляду (Choose what to clear) виберіть, що саме ви збираєтеся очистити.
У розділі Часовий діапазон (Time Range) виберіть Весь час (All time).
Виберіть Очистити зараз (Clear now).

Скиньте налаштування MS Edge:

Натисніть на Меню та виберіть Налаштування (Settings).
Зліва виберіть Скинути налаштування ( Reset settings).
Виберіть Відновити налаштування до значень за замовчуванням (Restore settings to their default values).
Підтвердьте дію (Reset).

Як видалити Mail Ru з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Виберіть Додатки (Add-ons and themes).
Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

Очистіть дані:

Натисніть три горизонтальні лінії у верхньому правому куті, щоб відкрити меню.
Виберіть Параметри (Settings).

Перейдіть до розділу Конфіденційність та безпека (Privacy and Security).
Прокрутіть униз, щоб знайти файли cookie та дані сайту.
Натисніть Очистити дані (Clear Data).
Виберіть файли cookie та дані сайту, а також кешований веб-вміст і натисніть Очистити (Clear).
Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).
Натисніть Оновити Firefox ( Refresh Firefox).
Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox ( Refresh Firefox).

Як видалити Mail Ru з Google Chrome?

Видаліть шкідливі розширення з Google Chrome:

Відкрийте Google Chrome, натисніть Меню (Три вертикальні точки у верхньому правому куті) і виберіть Інші інструменти (More tools). Натисніть Розширення
(Extensions).
У відкритій вкладці ви побачите всі встановлені на браузері розширення. Видаліть всі підозрілі плагіни, які можуть бути пов’язані з небажаною програмою, натиснувши Видалити (Remove).

Очистіть кеш і веб-дані з Chrome:

Натисніть Меню та виберіть Налаштування (Settings).
У розділі Конфіденційність та безпека (Privacy and Security) виберіть Очистити дані веб-перегляду (Clear browsing data).

Виберіть Історія перегляду, файли cookie та інші дані сайту, а також кешовані зображення та файли.
Натисніть Очистити дані (Clear data).
Скиньте налаштування Google Chrome:

Натисніть Меню та виберіть Налаштування (Setting).
Прокрутіть вниз і знайдіть розділ Скидання налаштувань та очищення даних (Reset and clean up).
Тепер натисніть Відновити налаштування до початкових за замовчуванням (Restore settings to their original defaults).
Підтвердьте Скинути налаштування (Reset setting).

Позначка: Chrome

Magnat кампанії, що розповсюджують встановлювальників шкідливого програмного забезпечення