Патчащий DLL вредонос установил Chrome-аддоны на 300 тыс. устройств

Патчащий DLL вредонос установил Chrome-аддоны на 300 тыс. устройств

Патчащий DLL вредонос установил Chrome-аддоны на 300 тыс. устройств

В новой кампании киберпреступники устанавливают вредоносные расширения Google Chrome и Microsoft Edge. С их помощью атакующие модифицируют исполняемые файлы браузера, подменяют стартовую страницу и вытаскивают историю посещений веб-страниц.

По оценке исследователей из ReasonLabs, кампания распространилась более чем на 300 тысяч браузеров.

Фигурирующие в атаках установщик и сам аддон редко детектируются антивирусами. Их задача — стащить данные и выполнить команды на целевых устройствах.

Как отметили специалисты ReasonLabs, жертвы кампании сначала скачивали установщики софта с фейковых сайтов, которые продвигались в поисковой выдаче Google в качестве рекламы.

Для привлечения внимания злоумышленники использовали следующие имена «программ»: Roblox FPS Unlocker, TikTok Video Downloader, загрузчик с YouTube, видеоплеер VLC, Dolphin Emulator, и менеджере паролей KeePass.

Загружаемые инсталляшки подписаны «Tommy Tech LTD» и каждая из них успешно проходит проверку на VirusTotal.

 

Тем не менее заявленную функциональность установочные файлы не реализуют, загружая вместо этого PowerShell-скрипт в директорию C:\Windows\System32\PrintWorkflowService.ps1. Последний скачивает с удаленного сервера пейлоад и запускает его на устройстве жертвы.

Этот же скрипт вносит изменения в реестр Windows с целью принудительно установить вредоносные расширения из Chrome Web Store и Microsoft Edge. Созданная задача позволяет скрипту PowerShell запускаться через определенные интервалы.

 

Вредонос устанавливает множество расширений для Google Chrome и Microsoft Edge, задача которых — перехватывать поисковые запросы жертвы, изменять домашнюю страницу, перенаправлять запросы через вредоносные серверы и извлекать историю посещения веб-страниц.

ReasonLabs приводит следующие аддоны для Google Chrome, связанные с этой кампанией:

  • Custom Search Bar – больше 40 тысяч пользователей;
  • yglSearch – больше 40 тысяч пользователей;
  • Qcom search bar – больше 40 тысяч пользователей;
  • Qtr Search – больше 6 тысяч пользователей;
  • Micro Search Chrome Extension – больше 180 тысяч пользователей (удалено из магазина);
  • Active Search Bar – больше 20 тысяч пользователей (удалено из магазина);
  • Your Search Bar – больше 40 тысяч пользователей (удалено из магазина);
  • Safe Search Eng – больше 35 тысяч пользователей (удалено из магазина);
  • Lax Search – больше 600 пользователей (удалено из магазина).

Что касается расширений для Edge, фигурируют следующие аддоны:

  • Simple New Tab – более 100 тыс. пользователей (уже удалено из магазина);
  • Cleaner New Tab – более 2 тыс. пользователей (уже удалено из магазина);
  • NewTab Wonders – более 7 тыс. пользователей (уже удалено из магазина);
  • SearchNukes – более 1 тыс. пользователей (уже удалено из магазина);
  • EXYZ Search – более 1 тыс. пользователей (уже удалено из магазина);
  • Wonders Tab – более 6 тыс. пользователей (уже удалено из магазина).

Интересно также, что зловред может модифицировать DLL браузеров. Эта функциональность позволяет ему менять стартовую страницу на https://microsearch[.]me/.

Google вычищает старые расширения Chrome: Manifest V2 исчезнет из Web Store

Google готовится добить старые расширения для Chrome на Manifest V2. С 31 августа 2026 года они должны исчезнуть из Chrome Web Store, а пользователи больше не смогут переустановить их из магазина, даже если раньше уже ими пользовались.

История тянется несколько лет. Google постепенно переводит Chrome на Manifest V3 — новый формат расширений, который компания называет более безопасным, быстрым и экономным по ресурсам.

Но у этого перехода есть болезненный побочный эффект: под раздачу попали старые расширения, включая популярные блокировщики рекламы вроде uBlock Origin.

Ранее Google уже начала отключать Manifest V2-расширения и усложнять их повторное включение. В июле 2025 года такие расширения фактически заблокировали для большинства пользователей, а в июне 2026-го убрали Chrome-флаг, который позволял обходить ограничения.

Последний островок старого мира — Chrome версии 138 и ниже. Там уже установленные Manifest V2-расширения ещё могут оставаться на месте, но без обновлений. Однако если пользователь удалит такое расширение, вернуть его из Chrome Web Store уже не получится. А после полного удаления из магазина шансов станет ещё меньше.

В Chrome 139 и новее поддерживаются только расширения на Manifest V3. То есть обычный путь такой: обновился — попрощался со старым набором дополнений. Теоретически можно возиться с режимом разработчика и локальными пакетами, но для большинства пользователей это уже мини-квест с непредсказуемым финалом.

Самый простой вариант для тех, кому критично нужны старые Manifest V2-расширения, — перейти на браузер, где они ещё поддерживаются. Среди таких вариантов называют Firefox, а также менее массовые браузеры вроде Thorium или Ghost. Но и тут лучше заранее сохранить установочные файлы нужных расширений: когда Google вычистит магазин, искать их потом может быть поздно.

RSS: Новости на портале Anti-Malware.ru