Ak používate Google Chrome alebo Microsoft Edge, zvýšte svoju opatrnosť. Práve túto dvojicu obľúbených webových prehliadačov totiž aktuálne sužuje veľká hrozba, ktorá už postihla viac ako 300-tisíc používateľov. Výskumný tím zo spoločnosti ReasonLabs, ktorá sa zaoberá ochranou pred kybernetickými hrozbami, upozorňuje na rozšírené útoky prostredníctvom falošných webových stránok, ktoré vedú k infikovaniu prehliadačov škodlivými rozšíreniami. Téme sa venuje server Tom’s Guide.
Tieto útoky sa šíria v rámci tzv. malvérovej kampane, ktorá má byť aktívna už od roku 2021. Za ten čas za sebou nechala mnoho obetí, dokopy ich má byť cez 300-tisíc. A po novom môžu pribudnúť ďalšie. ako bolo spomenuté, kampaň sa šíri prostredníctvom prehliadačov Chrome a Edge, čo sú aktuálne najviac používané prehliadače v rámci desktopov. Podľa údajov od StatCounter si v júli spoločne pripisovali trhový podiel takmer 80 percent. V priemere sú teda ohrození zhruba štyria z piatich používateľov.
Účinný postup
Útoky prebiehajú sofistikovaným, a teda aj celkom účinným spôsobom. Obete sú najskôr vlákané na falošné webové stránky, ktoré ich tlačia k sťahovaniu rôznych súborov. Útočníci sa pritom často vydávajú za legitímne a mnohým dôverne známe služby, napríklad YouTube, prehrávač médií VLC, Roblox FPS Unlocker, Steam a ďalšie.
Obete si teda myslia, že si do počítača sťahujú overený softvér, no v skutočnosti si sťahujú malvér, ktorý nechce nič iné, než páchať škody. Odborníci upozorňujú najmä na jeho schopnosť inštalovať do internetových prehliadačov rôzne rozšírenia, ktoré vás môžu obrať o citlivé dáta, prípadne aj o peniaze. A žiaľ, aj keď si takýchto rozšírení všimnete a jedno po druhom ich vymažete, nepomôžete si. Malvér, ktorý ja za ne zodpovedný, ich totiž nainštaluje znova pri ďalšom reštartovaní počítača.
Táto kampaň využíva digitálne podpísané inštalačné programy, ktoré na počítačoch zaregistrujú naplánovanú úlohu. Tá potom spustí skript s názvom PowerShell, ktorý následne stiahne a spustí ďalšie programy, a to prostredníctvom vzdialeného servera pod kontrolou hackerov. Škodlivý softvér, ktorý infikuje počítač, si dokáže vynútiť inštaláciu rozšírení v prehliadačoch Chrome a Edge. Tie, okrem iného, monitorujú vyhľadávania vo vyhľadávačoch Google a Bing, pričom sa usilujú o to, aby používateľa odkázali na servery spravované útočníkmi.
A aby toho nebolo málo, tento malvér taktiež dokáže prehliadaču zabrániť v inštalovaní nových aktualizícií s bezpečnostnými záplatami, čím sa používateľ vystavuje ešte väčšiemu počtu rizík.
Dá sa to riešiť, no nie jednoducho
Dobrou správou je, že ak malvér náhodou infikuje váš počítač, sú spôsoby, ako ho odstrániť. Horšou správou je, že si to vyžaduje určité technické zručnosti. Tím z ReasonLabs uvádza, že najskôr je potrebné z počítača odstrániť vyššie zmienenú naplánovanú úlohu. Docieliť tak možno otvorením programu Task Scheduler (Plánovač úloh) a kliknutím na možnosť Task Scheduler Library, čiže knižnicu plánovača úloh.
Keď tak spravíte, zobrazí sa vám zoznam jednotlivých naplánovaných úloh. Úlohy vytvorené malvérom identifikujete tak, že si rozkliknete každú jednu úlohu a prejdete do sekcie Actions (Akcie). Tu vyhľadáte položku, ktorá obsahuje smerovanie c:\windows\system32 a skript PowerShell, alternatívne súbor končiaci sa označením ps1. Akonáhle takúto úlohu nájdete, kliknete pravým tlačidlom myši na jej názov a vyberiete možnosť odstránenia.
To ale nie je všetko. Taktiež treba odstrániť kľúče registra, ktoré v prehliadači vynucujú inštaláciu škodlivých rozšírení. V tomto prípade musíte otvoriť program Registry Editor (Editor registra). No dajte si pozor, ide o čosi zložitejší postup, než aký bolo treba podstúpiť pri Task Scheduler. Je tu toho celkom veľa, na čo si treba dávať pozor. No ak si veríte, skúste to.
Po otvorení programu treba nájsť konkrétne položky, v ktorých následne rozbalíte zoznam rozšírení (v pravom okienku) s číselnou hodnotou ako Name (Názov) a ID rozšírenia ako Data (Údaje). Následne kliknete pravým tlačidlom myši na názov a vyberiete tlačidlo pre odstránenie.
V prípade prehliadača Microsoft Chrome treba tento postup aplikovať pri týchto položkách:
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
V prípade prehliadača Microsoft Edge treba vybrať nasledujúcu položku:
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
Samozrejme, je tu aj alternatívne riešenie, a to využitie kvalitného antivírusového programu, ktorých je dnes k dispozícii viac než dosť. Ak však týmto programom neveríte a chcete situáciu vyriešiť vlastnoručne, vyššie opísaný postup by mal pomôcť. Podrobne jednotlivé kroky opisujú aj odborníci z Reality Labs.
Absolútne najlepšie bude, ak sa budete vyvarovávať stránkam, pri ktorých nemáte istotu, že sú legitímne, teda pravé. Akýkoľvek obsah vždy sťahujte z overených zdrojov. Pravosť vybraného zdroja môžete overiť viacerými spôsobmi, no najjednoduchšie bude skontrolovať URL adresu.
