Clicky

Nuevo malware ataca a 300.000 usuarios con extensiones falsas para Chrome y Edge

extensiones falsas del navegador

En el centro de la campaña está el uso de publicidad maliciosa

Se ha observado una campaña de malware generalizada y en curso que instala extensiones falsas de Google Chrome y Microsoft Edge a través de un troyano distribuido mediante sitios web falsos que se hacen pasar por software popular.

"El malware troyano contiene diferentes elementos que van desde simples extensiones de adware que secuestran búsquedas hasta scripts maliciosos más sofisticados que entregan extensiones locales para robar datos privados y ejecutar varios comandos", dijo en un análisis el equipo de investigación de ReasonLabs.

"Este malware troyano, existente desde 2021, tiene su origen en imitaciones de sitios web de descarga con complementos para juegos y vídeos en línea".

El malware y las extensiones tienen un alcance combinado de al menos 300.000 usuarios de Google Chrome y Microsoft Edge, lo que indica que la actividad tiene un amplio impacto.

En el centro de la campaña está el uso de publicidad maliciosa para impulsar sitios web similares que promueven conocido software como Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass para engañar a los usuarios que buscan estos programas para que descarguen un troyano, que sirve como conducto para instalar las extensiones del navegador.

Los instaladores maliciosos firmados digitalmente registran una tarea programada que, a su vez, está configurada para ejecutar un script de PowerShell responsable de descargar y ejecutar la carga útil de la siguiente etapa obtenida de un servidor remoto.

Esto incluye modificar el Registro de Windows para forzar la instalación de extensiones de Chrome Web Store y complementos de Microsoft Edge que son capaces de secuestrar consultas de búsqueda en Google y Microsoft Bing y redirigirlas a través de servidores controlados por atacantes.

"El usuario no puede desactivar la extensión, ni siquiera con el modo de desarrollador activado", afirmó ReasonLabs. "Las versiones más nuevas del script eliminan las actualizaciones del navegador".

También lanza una extensión local que se descarga directamente desde un servidor de comando y control (C2), y viene con amplias capacidades para interceptar todas las solicitudes web y enviarlas al servidor, recibir comandos y scripts cifrados, e inyectar y cargar scripts en todas las páginas.

Además, secuestra las consultas de búsqueda de Ask.com, Bing y Google, y las canaliza a través de sus servidores y luego a otros motores de búsqueda.

Se recomienda a los usuarios afectados por el ataque de malware que eliminen la tarea programada que reactiva el malware cada día, eliminen las claves del Registro y eliminen los siguientes archivos y carpetas del sistema:

C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 version
C:\Windows\system32\kondserp_optimizer.ps1 - May 2024 version
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog

No es la primera vez que se observan campañas similares en la red. En diciembre de 2023, la empresa de ciberseguridad detalló otro instalador de troyanos distribuido a través de torrents que instalaba extensiones web maliciosas que se hacían pasar por aplicaciones VPN, pero que en realidad estaban diseñadas para ejecutar un "hackeo de actividad de devolución de dinero".

Jesus_Caceres