Se ha observado una campaña de malware a gran escala en curso, que instala extensiones maliciosas para Google Chrome y Microsoft Edge a través de un troyano distribuido a través de sitios web falsos que se hacen pasar por software popular.
“El malware troyano contiene diferentes entregables que van desde simples extensiones de adware que secuestran búsquedas hasta scripts maliciosos más sofisticados que proporcionan extensiones locales para robar datos privados y ejecutar varios comandos”, dijo el equipo de investigación de ReasonLabs. dicho en un análisis.
“Este malware troyano, existente desde 2021, proviene de imitaciones de sitios de descarga con complementos para juegos y vídeos online. »
El malware y las extensiones tienen un alcance combinado de al menos 300.000 usuarios de Google Chrome y Microsoft Edge, lo que indica que la actividad está teniendo un impacto significativo.
El núcleo de la campaña es el uso de anuncios maliciosos para promocionar sitios web similares que promocionan software conocido como Roblox FPS Unlocker, YouTube, VLC Media Player, Steam o KeePass para engañar a los usuarios que buscan estos programas para que descarguen un troyano, que sirve como canal. para la instalación de extensiones del navegador.
Los instaladores maliciosos firmados digitalmente registran una tarea programada que, a su vez, está configurada para ejecutar un script de PowerShell responsable de descargar y ejecutar la carga útil del siguiente paso recuperada de un servidor remoto.
Esto incluye modificar el registro de Windows para forzar la instalación de extensiones de Chrome Web Store y complementos de Microsoft Edge capaces de secuestrar consultas de búsqueda de Google y Microsoft Bing y redirigirlas a través de servidores controlados por atacantes.
“El usuario no puede desactivar la extensión, incluso con el modo de desarrollador habilitado”, dijo ReasonLabs. “Las versiones más recientes del script eliminan las actualizaciones del navegador. »
También lanza una extensión local que se descarga directamente desde un servidor de comando y control (C2) y viene con amplias capacidades para interceptar todas las solicitudes web y enviarlas al servidor, recibir comandos y scripts cifrados, e inyectar y cargar scripts en todas las páginas. .
Además de eso, secuestra consultas de búsqueda de Ask.com, Bing y Google, y las canaliza a través de sus servidores y luego a otros motores de búsqueda.
Esta no es la primera vez que se observan campañas similares en la naturaleza. En diciembre de 2023, la empresa de ciberseguridad detallado otro instalador troyano lanzado a través de torrents que instala extensiones web maliciosas que se hacen pasar por aplicaciones VPN, pero que en realidad están diseñadas para ejecutar un “secuestro de actividad de devolución de dinero”.