Chrome- und Edge-Benutzer sind mit bösartigen Browsererweiterungen infiziert, die Ihre persönlichen Daten stehlen – was jetzt zu tun ist
Hacker verwenden bösartige Browsererweiterungen, um sowohl Google Chrome als auch Microsoft Edge mit gefährlicher Malware zu infizieren, die Ihre persönlichen Daten stehlen und Ihren Computer dem Risiko weiterer Angriffe aussetzen kann.
Wie im Bericht angegeben Hacker-NewsDie kürzlich entdeckte Malware-Kampagne ist seit 2021 aktiv und hat bisher mindestens 300.000 Chrome- und Edge-Nutzer zum Opfer gefallen.
Was diese Malware besonders gefährlich macht, ist die Tatsache, dass sie auf infizierten Computern persistieren kann. Das bedeutet, dass sich die Malware selbst dann wieder aktiviert, wenn Sie die schädliche Erweiterung löschen, wenn Sie Ihren Computer das nächste Mal neu starten.
Hier finden Sie alles, was Sie über diese Malware-Kampagne wissen müssen und wie Sie die darin verwendete schädliche Erweiterung ein für alle Mal entfernen können.
Verwenden Sie bösartige Werbung, um gefälschte Websites zu pushen
Wie andere Malware-Kampagnen nutzt auch diese bösartige Werbung, um unvorsichtige Benutzer dazu zu verleiten, gefährliche Software herunterzuladen und zu installieren.
Die Hacker hinter dieser Operation haben ähnliche Websites erstellt, die sich als beliebte Software und Dienste wie Roblox FPS Unlocker, YouTube, VLC Media Player, Steam oder Keepass ausgeben. Während potenzielle Opfer denken, dass sie legitime Software oder Erweiterungen installieren, laden sie tatsächlich einen Trojaner herunter, der die schädlichen Erweiterungen installiert, die von diesem Schadprogramm verwendet werden.
Die in dieser Kampagne verwendeten, digital signierten bösartigen Installationsprogramme registrieren eine geplante Aufgabe auf anfälligen Computern, die dann ein PowerShell-Skript ausführt, das die Nutzlast für die nächste Stufe herunterlädt und sie von einem von einem Hacker kontrollierten Remote-Server ausführt.
Als Teil dieser Nutzlast der nächsten Stufe ändert die Malware die Windows-Registrierung auf infizierten Computern, um diese zur Installation von Chrome- und Edge-Erweiterungen zu zwingen, die für Werbebetrug verwendet werden, indem sie Websuchen bei Google und Bing kapern und sie dann über die Server der Hacker umleiten . Erschwerend kommt hinzu, dass neuere Versionen dieser Malware die Installation von Browser-Updates verhindern können, wodurch die Opfer dem Risiko weiterer Angriffe ausgesetzt werden.
Glücklicherweise gibt es eine Lösung, die jedoch einiges technisches Know-how erfordert.
So entfernen Sie dieses Schadprogramm für immer von Ihrem Computer
In Blog ReasonLabs stellt die Ergebnisse seiner Sicherheitsforscher detailliert dar und liefert weitere Details dazu, wie Sie diese Malware und die in dieser Kampagne verwendeten bösartigen Erweiterungen ordnungsgemäß von Ihrem Computer entfernen.
Zunächst müssen Sie die geplante Aufgabe von Ihrem Computer entfernen. Dies geschieht durch Anklicken Startmenü Oder drücken Sie Windows-Taste auf Ihrer Tastatur und suchen Sie dann nach Aufgabenplanung.
Sobald sich der Taskplaner öffnet, müssen Sie auf klicken Bibliothek zur Aufgabenplanung Um alle Aufgaben auf Ihrem Computer anzuzeigen. Obwohl der Name der von dieser Malware verwendeten Aufgabe unterschiedlich ist, können Sie sie identifizieren, indem Sie auf die Aufgaben klicken, sie öffnen und dann darauf klicken VerfahrenIn der folgenden Tabelle können Sie einen Blick auf deren Verfahren werfen Details Hier möchten Sie nach einem Pfad zu „c:\windows\system32“ und einem PowerShell-Skript oder einer PowerShell-Datei suchen, die mit „.ps1“ endet. ReasonLabs weist darauf hin, dass der Name der Aufgabe häufig dem Namen eines PowerShell-Skripts ähnelt. Wenn Sie die schädliche Aufgabe gefunden haben, klicken Sie mit der rechten Maustaste auf ihren Namen und klicken Sie dann auf Wischen.
Als Nächstes müssen Sie die Registrierungsschlüssel entfernen, die schädliche Erweiterungen in Ihren Browser zwingen. Das ist schwieriger, aber Sie können es öffnen Registrierungseditor Genauso wie Sie es mit dem Taskplaner gemacht haben. Bedenken Sie jedoch, dass Sie nicht mit der Registrierung Ihres Computers herumspielen sollten, es sei denn, Sie wissen genau, was Sie tun. Bitten Sie im Zweifelsfall einen Freund um Hilfe oder bringen Sie Ihren Computer zu einem Spezialisten.
Wenn der Registrierungseditor geöffnet wird, müssen Sie zu „Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist“ gehen. Im rechten Bereich wird hier eine Liste von Erweiterungen mit dem numerischen Wert „Name“ und der Erweiterungs-ID „Daten“ angezeigt. Klicken Sie dann mit der rechten Maustaste auf den Namen und klicken Sie WischenSie sollten dies auch für diesen Registrierungsschlüssel tun: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist.“
Da diese Malware sowohl Chrome als auch Edge betrifft, müssen Sie den gleichen Vorgang für Edge-Erweiterungen unter diesem Pfad wiederholen: „Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist“.
Obwohl Sie Malware-Dateien selbst löschen können, ist es besser, eine solche zu verwenden Die besten Antivirenprogramme Es gibt Lösungen, die dies für Sie erledigen. Wenn Sie dies manuell tun möchten, finden Sie eine Anleitung am Ende des oben verlinkten ReasonLabs-Blogbeitrags.
Das Entfernen dieser bösartigen Erweiterungen und der von ihnen auf Ihrem Computer abgelegten Malware wird wahrscheinlich mehr als ausreichen, um sicherzustellen, dass Sie es sich zweimal überlegen, bevor Sie neue Software oder Browsererweiterungen von nicht vertrauenswürdigen Quellen herunterladen. Wenn Sie eine neue Erweiterung herunterladen möchten, tun Sie dies stattdessen aus dem Chrome Web Store oder dem Microsoft Edge Extension Store.