Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Злоупотребен е потпишан софтвер за распоредување скрипти што го уништуваат антивирусот

Објавено: 16.04.2026

Дигитално потпишан adware алат инсталирал малициозни компоненти што се извршуваат со SYSTEM привилегии и ги исклучуваат антивирусните заштити на илјадници уреди, вклучително и во образовниот, комуналниот, владиниот и здравствениот сектор.

Во текот на еден ден, истражувачите забележале повеќе од 23.500 заразени уреди во 124 држави кои се обидувале да се поврзат со инфраструктурата на операторот, при што стотици од нив биле во мрежи со висока вредност.

Повеќе од обичен adware

Истражувачи за безбедност од компанијата Huntress ја откриле кампањата на 22 март, кога потпишани извршни датотеки, сметани за потенцијално несакани програми (PUP), активирале аларми во повеќе управувани средини.

PUP (Potentially Unwanted Programs), односно adware, обично се сметаат повеќе за досадни отколку за малициозни, бидејќи нивната улога најчесто е да генерираат приходи за развивачот преку прикажување реклами, банери или пренасочувања во прелистувач.

Истражувачите од Huntress наведуваат дека софтверот бил потпишан од компанијата Dragon Boss Solutions LLC, која се занимава со активности поврзани со „монетизација на пребарување“ и промовира различни алатки (на пр. Chromstera Browser, Chromnius, WorldWideWeb, Web Genius, Artificius Browser) претставени како прелистувачи, но детектирани како PUP од повеќе безбедносни решенија.

Веб-страницата на алатката Chromnius

Покрај тоа што ги вознемирува корисниците со реклами и пренасочувања, истражувачите од Huntress велат дека прелистувачите од Dragon Boss Solutions LLC содржат и напреден механизам за ажурирање кој инсталира алатка за исклучување на антивирусите.

Деактивирање на безбедноста

Истражувачите откриле дека операцијата се потпира на механизмот за ажурирање од комерцијалната алатка Advanced Installer за да испорачува MSI и PowerShell малициозни компоненти.

Анализата на конфигурациската датотека за ажурирање открила повеќе параметри што ја прават операцијата целосно тивка, без никаква интеракција од корисникот. Дополнително, payload-ите се инсталираат со зголемени привилегии (SYSTEM), се спречува корисникот да ги исклучи автоматските ажурирања и системот често проверува за нови верзии.

Според истражувачите, процесот на ажурирање презема MSI датотека (Setup.msi) маскирана како GIF слика, која во моментов е означена како малициозна од само неколку безбедносни алатки на VirusTotal.

MSI payload-от содржи повеќе легитимни DLL библиотеки што Advanced Installer ги користи за специфични задачи, како извршување PowerShell скрипти, проверка на инсталиран софтвер или други прилагодени активности дефинирани во посебна датотека наречена „!_StringData“, која содржи инструкции за инсталерот.

Huntress наведува дека пред да го инсталира главниот малициозен код, MSI инсталерот врши извидување: проверува дали корисникот има администраторски привилегии, детектира виртуелни машини, проверува интернет конекција и го пребарува регистарот за инсталирани антивирусни решенија како Malwarebytes, Kaspersky, McAfee и ESET.

Безбедносните алатки се исклучуваат со PowerShell скрипта наречена „ClockRemoval.ps1“, која се поставува на две локации. Истражувачите додаваат дека инсталерите за прелистувачите Opera, Chrome, Firefox и Edge исто така се таргетирани, најверојатно за да се избегне мешање со преземањето контрола врз прелистувачот (browser hijacking) од страна на adware-от.

Преглед на компромитацијата

Скриптата „ClockRemoval.ps1“ извршува рутина при стартување на системот, при најавување и на секои 30 минути, со цел да осигури дека антивирусните (AV) решенија повеќе не се присутни. Тоа го прави преку запирање на сервиси, прекинување на процеси, бришење на инсталациски директориуми и registry записи, тивко извршување на деинсталери од производителите и присилно бришење на датотеки кога деинсталацијата не успева.

Дополнително, скриптата спречува повторна инсталација или ажурирање на безбедносните алатки со блокирање на домените на нивните производители преку измена на hosts датотеката и нивно пренасочување кон 0.0.0.0 (null-routing).

Во текот на анализата, истражувачите од Huntress откриле дека операторот не ги регистрирал главниот домен за ажурирање (chromsterabrowser[.]com) ниту резервниот (worldwidewebframework3[.]com), што им овозможило да ја преземат контролата (sinkhole) врз конекциите од сите заразени уреди.

Поради тоа, тие го регистрирале главниот домен и набљудувале „десетици илјади компромитирани уреди кои се поврзуваат во потрага по инструкции што, во погрешни раце, можеле да бидат било што.“

Врз основа на IP адресите, истражувачите идентификувале 324 заразени уреди во мрежи со висока вредност:

  • 221 академски институции во Северна Америка, Европа и Азија
  • 41 мрежа за оперативна технологија (OT) во енергетскиот и транспортниот сектор и кај провајдери на критична инфраструктура
  • 35 општински влади, државни агенции и јавни претпријатија
  • 24 основни и средни образовни институции
  • 3 здравствени организации (болнички системи и здравствени провајдери)
  • мрежи на повеќе Fortune 500 компании

BleepingComputer се обидел да стапи во контакт со Dragon Boss Solutions LLC, но не успеал да најде контакт информации, бидејќи нивната веб-страница повеќе не е активна.

Huntress предупредува дека, иако моментално малициозната алатка користи механизам за исклучување на антивируси, инфраструктурата за испорака на многу поопасни payload-и веќе постои и може да биде искористена во било кој момент за ескалација на нападите.

Дополнително, бидејќи главниот домен за ажурирање не бил регистриран, секој можел да го преземе и да испраќа произволни малициозни компоненти до илјадници веќе заразени уреди без никаква заштита, користејќи веќе воспоставена инфраструктура.

Huntress препорачува систем администраторите да проверуваат:

  • WMI event subscriptions што содржат „MbRemoval“ или „MbSetup“
  • закажани задачи што реферираат на „WMILoad“ или „ClockRemoval“
  • процеси потпишани од Dragon Boss Solutions LLC

Исто така, треба да се прегледа hosts датотеката за записи што блокираат домени на антивирусни компании и да се проверат исклучоците во Microsoft Defender за сомнителни патеки како „DGoogle“, „EMicrosoft“ или „DDapps“.

Извори:

  • Bleeping Computer – Signed software abused to deploy antivirus-killing scripts Bleeping Computer