Extension Trojan Malware
Uma campanha de malware em larga escala foi detectada. Ela tem como alvo usuários instalando extensões fraudulentas do Google Chrome e Microsoft Edge por meio de um Trojan distribuído por sites falsos que se passam por softwares populares. O Trojan implanta uma variedade de payloads, desde extensões básicas de adware que sequestram pesquisas até scripts inseguros mais avançados que instalam extensões locais projetadas para coletar dados pessoais e executar vários comandos. Este Trojan, ativo desde 2021, se origina de sites de download falsificados que oferecem complementos para jogos e vídeos online.
Índice
Centenas de Milhares de Usuários Impactados
O malware e suas extensões associadas afetaram mais de 300.000 usuários do Google Chrome e do Microsoft Edge, demonstrando a natureza generalizada da ameaça.
Central para esta campanha é o uso de malvertising para direcionar usuários a sites enganosos que imitam softwares bem conhecidos como Roblox FPS Unlocker, YouTube, VLC media player, Steam ou KeePass. Esses sites enganam usuários que procuram por esses programas para baixar um Trojan, que então instala as extensões fraudulentas do navegador.
Os instaladores corrompidos, que são assinados digitalmente, configuram uma tarefa agendada que aciona um script do PowerShell. Esse script é responsável por baixar e executar o payload do próximo estágio de um servidor remoto.
Os Atacantes Instalam Novos Navegadores nos Dispositivos Comprometidos
Isso envolve alterar o Registro do Windows para impor a inserção de extensões da Chrome Web Store e dos complementos do Microsoft Edge, que podem sequestrar consultas de pesquisa no Google e no Microsoft Bing, redirecionando-as por meio de servidores controlados pelos invasores.
A extensão foi projetada para ser indeletável, mesmo com o Modo Desenvolvedor habilitado. Versões recentes do script também desabilitam atualizações do navegador. Além disso, ele implanta uma extensão local baixada diretamente de um servidor Command-and-Control (C2), equipado com recursos extensivos para interceptar todas as solicitações da Web, retransmiti-las para o servidor, executar comandos e scripts criptografados e injetar scripts em cada página da Web.
Além disso, ele sequestra consultas de pesquisa do Ask.com, Bing e Google, redirecionando-as por meio de seus servidores antes de repassá-las para outros mecanismos de busca.
Os Usuários Afetados Devem Agir
Os usuários afetados pelo ataque de malware devem tomar as seguintes medidas para mitigar o problema:
- Exclua a tarefa agendada que reativa o malware diariamente.
- Remova as chaves relevantes do Registro.
- Exclua os seguintes arquivos e pastas do sistema:
C:\Windows\system32\Bloqueador de privacidadewindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versão 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versão de maio de 2024)
C:\Windows\Grelha interna do kernel
C:\Windows\GridInterno do Kernel3
C:\Windows\GridInterno do Kernel4
C:\Windows\Log de Serviço Shell
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Esse tipo de ataque não é inédito. Em dezembro de 2023, uma campanha semelhante foi relatada, envolvendo um instalador de Trojan distribuído por torrents. Esse instalador estava disfarçado como um aplicativo VPN, mas na verdade foi projetado para executar um 'hack de atividade de cashback'.
