Компрометация цепочки поставок Office Assistant: вредоносное расширение Mltab поразило сотни тысяч устройств

После проверки окружения на наличие виртуальных машин и инструментов отладки загрузчик обращается к домену управления командованием (C2) ofsd.fh67k[.]com. Затем он размещает в системе вредоносный компонент OfficeTeamAddin.dll. Интересно, что цифровая подпись этой библиотеки отличается от официальной подписи Office Assistant. Однако пути отладочной информации (PDB) имеют некоторое сходство, оставляя открытыми вопросы о происхождении компонента.

Дальнейшая цепочка атаки включает несколько этапов. Вредоносный код загружает второй компонент, который соединяется с сервером C2 для получения ссылки на полезную нагрузку (payload). Финальным этапом становится развертывание браузерного расширения Mltab. Это расширение активно собирает конфиденциальные данные пользователей. Оно фиксирует историю посещений, шаблоны использования и другую поведенческую аналитику. Собранная информация шифруется и отправляется на контролируемые злоумышленниками домены.

Расширение осуществляет подмену трафика. Оно модифицирует настройки браузера, в частности файл Secure Preferences в Microsoft Edge, чтобы перенаправлять пользователей на мошеннические или рекламные страницы. Механизм включает подмену стартовой страницы, результатов поиска и даже контекстного меню. Например, добавляется пункт "Искать с помощью Baidu", который на самом деле ведет на сторонние сайты. Для этого расширение регулярно загружает с серверов C2 актуальные правила подмены ссылок.

Атака имеет широкий охват. По данным исследователей, инцидент активен как минимум с мая 2024 года. За полтора года было поражено около миллиона терминалов в Китае. Только вредоносное расширение Mltab было установлено более 210 тысяч раз. Примечательно, что на момент публикации отчета это расширение все еще доступно в официальном магазине дополнений Microsoft Edge. C2-серверы атаки входят в топ-1 миллион доменов по версии OpenDNS, что может маскировать их активность под легитимный трафик.

Целью атаки становятся несколько популярных браузеров. В их список входят Microsoft Edge, Google Chrome, QQ Browser, Sogou Browser, Lenovo Browser и 2345 Browser. Расширение маскируется под плагин "MadaoL Newtab". После установки оно внедряет в новую вкладку код, который загружает удаленные скрипты для отслеживания и перенаправления трафика.

Эксперты рекомендуют организациям проверить наличие подозрительных расширений в браузерах и обновить средства защиты.

Domains

• 3d5d6.com
• api.g6ht.com
• cjtab.com
• d.giw36.com
• djt86.com
• e78y.com
• eybyyffs.com
• fh67k.com
• fk6u1.com
• g8ht6.com
• gey87.com
• h7np2.com
• hty73.com
• k5jy8.com
• mltab-1306567145.cos.ap-guangzhou.myqcloud.com
• n3yj6.com
• rh6yd.com
• sg-xj-1306567145.cos.ap-guangzhou.myqcloud.com

MD5

• 11bf1232bfef7377916cf665a9524398
• 4cf6b6611ef61e114bdf697339972315
• 5f421f404c7eb7d78a797031b0bd0e14
• 908959dd4ad7d7a5e677b0d4daa5c6a0
• deb35616612fe2ba7b496cb290983ee0
• ebfa0f0a9c1fe1feeea166a6ff933d0b
• feb7613b75e90c22c57a484acae15e1a