WOW
Nuevo malware troyano afecta a 300.000 usuarios de Chrome y Edge
Published
4 semanas agoon
By
Los investigadores de seguridad de ReasonLabs han descubierto un nuevo polimórfico generalizado y en curso Campaña de malware que instala a la fuerza extensiones de navegador maliciosas en los puntos finales.
El instalador y las extensiones, que se están extendiendo globalmente, tienen Afectó al menos a 300.000 usuarios de Google Chrome y Microsoft Edge.modificando los ejecutables del navegador para secuestrar páginas de inicio y robar el historial de navegación.
El malware troyano, que generalmente pasa desapercibido para las herramientas antivirus, contiene diferentes elementos que van desde simples extensiones de adware que se apoderan de las búsquedas hasta scripts maliciosos más complejos que distribuyen extensiones locales para robar datos privados y ejecutar varios comandos en los dispositivos infectados.
Desde 2021, este malware troyano se origina en sitios web de imitación que ofrecen descargas y complementos para juegos y videos en línea.
¿Cómo funciona el malware?
ReasonLabs afirmó que la infección comienza cuando las víctimas descargan instaladores de software a través de sitios web falsos que se comercializan mediante publicidad maliciosa en los resultados de búsqueda de Google. Los anunciantes utilizan imitaciones de sitios de descarga como Roblox FPS Unlocker, YouTube, VLC Media Player o KeePass. Los ejecutables descargados de estos sitios web falsos ni siquiera intentan instalar el software deseado, sino que implementan troyanos.
“Una vez que un usuario descarga el programa del sitio web similar, el programa registra una tarea programada usando un seudónimo que sigue el patrón de un nombre de archivo de script de PowerShell, como Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 y NvOptimizerTaskUpdater_V2”, dicen los investigadores de ReasonLabs.
“Está configurado para ejecutar un script de PowerShell con un nombre similar “-Archivo C:/Windows/System32/NvWinSearchOptimizer.ps1”. El script de PowerShell descarga una carga útil desde un servidor remoto y la ejecuta en la máquina”.
El script de PowerShell se escribe en la carpeta system32, que invoca un script de segunda etapa desde el C2 directamente a la memoria. Cuando finalmente se ejecuta el script de PowerShell, agrega valores de registro para forzar la instalación de extensiones maliciosas. Estas extensiones roban consultas de búsqueda y las redirigen a través de la búsqueda del adversario, lo que las hace indetectables incluso con el modo de desarrollador activado.
El script instala extensiones maliciosas modificando las claves de registro de Chrome y Edge, lo que dificulta aún más su desactivación a través de la configuración habitual del navegador. Las extensiones realizan varias actividades maliciosas, como secuestrar búsquedas de motores de búsqueda conocidos y redirigirlas a través de dominios controlados por el atacante antes de mostrar finalmente resultados de motores de búsqueda legítimos como Yahoo o Bing.
ReasonLabs informa que las iteraciones más recientes del troyano modifican los archivos DLL principales del navegador utilizados por Google Chrome y Microsoft Edge para capturar la página de inicio del navegador a una que esté bajo el control del actor de la amenaza, como https://microsearch.[.]a mí/.
“El propósito de este script es localizar las DLL de los navegadores (msedge.dll si Edge es el predeterminado) y cambiar bytes específicos en ubicaciones específicas dentro de él”, explica ReasonLabs.
“De esta manera, el script puede secuestrar la búsqueda predeterminada de Bing o Google y pasarla al portal de búsqueda del adversario. Verifica qué versión del navegador está instalada y busca los bytes en consecuencia”.
El equipo de investigación de ReasonLabs alertó de inmediato a Google y Microsoft al descubrir la vulneración. Si bien Microsoft ha eliminado todas las extensiones maliciosas identificadas de su tienda de complementos Edge, algunas extensiones implicadas aún siguen activas en la tienda web de Google Chrome.
Mientras tanto, se recomienda a los usuarios descargar extensiones solo de fuentes confiables, tener cuidado al descargar software de sitios web desconocidos y mantener su software antivirus actualizado.
Compartenos / Share Us:
- Haz clic para compartir en Twitter (Se abre en una ventana nueva)
- Haz clic para compartir en Facebook (Se abre en una ventana nueva)
- Haz clic para compartir en Tumblr (Se abre en una ventana nueva)
- Haz clic para compartir en Pinterest (Se abre en una ventana nueva)
- Haz clic para compartir en Pocket (Se abre en una ventana nueva)
- Haz clic para compartir en Telegram (Se abre en una ventana nueva)
- Haz clic para compartir en WhatsApp (Se abre en una ventana nueva)
Relacionados
Comentarios
0 Comentarios