Extensió Troià Malware
S'ha detectat una campanya de programari maliciós a gran escala. S'adreça als usuaris mitjançant la instal·lació d'extensions fraudulentes de Google Chrome i Microsoft Edge mitjançant un troià distribuït a través de llocs web falsos que es fan passar per programari popular. El troià desplega una sèrie de càrregues útils, des d'extensions bàsiques de programari publicitari que segresten les cerques fins a scripts més avançats i insegurs que instal·len extensions locals dissenyades per recollir dades personals i executar diverses ordres. Aquest troià, actiu des del 2021, prové de llocs web de descàrrega falsificats que ofereixen complements per a jocs i vídeos en línia.
Taula de continguts
Centenars de milers d’usuaris afectats
El programari maliciós i les seves extensions associades han afectat més de 300.000 usuaris a Google Chrome i Microsoft Edge, demostrant la naturalesa generalitzada de l'amenaça.
El centre d'aquesta campanya és l'ús de publicitat maliciosa per dirigir els usuaris a llocs web enganyosos que imiten programari conegut com Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass. Aquests llocs enganyen els usuaris que cerquen aquests programes perquè baixin un troià, que després instal·la les extensions del navegador fraudulentes.
Els instal·ladors danyats, que estan signats digitalment, configuren una tasca programada que activa un script de PowerShell. Aquest script és responsable de baixar i executar la càrrega útil de la següent etapa des d'un servidor remot.
Els atacants instal·len nous navegadors als dispositius compromesos
Això implica alterar el Registre de Windows per fer complir la inserció d'extensions de Chrome Web Store i els complements de Microsoft Edge, que poden segrestar consultes de cerca a Google i Microsoft Bing, redirigint-les a través de servidors controlats pels atacants.
L'extensió està dissenyada per no esborrar, fins i tot amb el mode de desenvolupador habilitat. Les versions recents de l'script també desactiven les actualitzacions del navegador. A més, desplega una extensió local descarregada directament des d'un servidor d'ordres i control (C2), equipada amb àmplies capacitats per interceptar totes les sol·licituds web, transmetre-les al servidor, executar ordres i scripts xifrats i injectar scripts a cada pàgina web.
A més, segresta les consultes de cerca d'Ask.com, Bing i Google, desviant-les pels seus servidors abans de passar-les a altres motors de cerca.
Els usuaris afectats haurien de prendre mesures
Els usuaris afectats per l'atac de programari maliciós haurien de seguir els passos següents per mitigar el problema:
- Suprimeix la tasca programada que reactiva el programari maliciós diàriament.
- Elimineu les claus de registre corresponents.
- Suprimiu els fitxers i carpetes següents del sistema:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versió 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versió de maig de 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Aquest tipus d'atac no té precedents. El desembre de 2023, es va informar d'una campanya similar, que implicava un instal·lador troià distribuït a través de torrents. Aquest instal·lador estava disfressat com una aplicació VPN, però en realitat estava dissenyat per executar un "pirateig d'activitat de devolució de diners".
