Shtesat (extention) me qëllim të keq për Google Chrome dhe Microsoft Edge, janë instaluar në më shumë se 300,000 ueb shfletues duke modifikuar skedarët e ekzekutueshëm.
Fushata u zbulua nga studiuesit e ReasonLabs, të cilët paralajmërojnë se kriminelët kibernetikë që qëndrojnë pas saj po përdorin malwaretiseming (reklama me qëllim të keq) për të infektuar pajisjet.
Infeksioni fillon kur viktimat shkarkojnë instalues softuerësh nga faqet e rreme që u drejtohen atyre nga reklamat në rezultatet e kërkimit të Google.
Sulmuesit përdorin mashtrime si Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, video player VLC, Dolphin Emulator dhe menaxher fjalëkalimi KeePass.
Instaluesit e shkarkuar nënshkruhen në mënyrë digjitale nga “Tommy Tech LTD”. Asnjë nga motorët AV në VirusTotal nuk i zbuloi këto programe në kohën kur ReasonLabs zbuloi fushatën.
Megjithatë, ato nuk përmbajnë asgjë që i ngjan softuerit të premtuar. Në vend të kësaj, ata ekzekutojnë një skript PowerShell të shkarkuar në C:WindowsSystem32PrintWorkflowService.ps1 që shkarkon malware nga serveri i sulmuesit dhe e ekzekuton atë në kompjuterin e viktimës.
I njëjti skrip modifikon gjithashtu regjistrin e Windows për të lejuar instalimin e shtesave nga Dyqani i uebit i Chrome dhe shtojcat e Microsoft Edge.
Scheduled Task u krijua gjithashtu për të ngarkuar një skript PowerShell në intervale të ndryshme, duke i lejuar sulmuesit të instalojnë malware të tjerë.
Malware instalon një sërë shtesash të ndryshme në Google Chrome dhe Microsoft Edge që do të rrëmbejnë pyetjet e kërkimit, do të ndryshojnë faqen kryesore dhe do të ridrejtojnë kërkimet e përdoruesve përmes serverit të sulmuesit në mënyrë që ata të mund të vjedhin historinë e kërkimit.
Google Chrome krijon një listë të plotë të kampanjës në Shiritin e Kërkimit të Personalizuar, yglSearch, shiritin e kërkimit Qcom, Qtr Search, Micro Search Chrome Extension, Active Search Shirit, Shiritin e kërkimit tuaj, Safe Search Eng dhe Lax Search.
Shtesat e Microsoft Edge të lidhura me këtë fushatë janë Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Seardh dhe Wonders Tab.
Shumica e këtyre shtesave tani janë hequr nga dyqanet e shtesave të shfletuesit të internetit të Google dhe Microsoft.