Extensión de malware troyano
Se ha detectado una campaña de malware a gran escala que ataca a los usuarios instalando extensiones fraudulentas de Google Chrome y Microsoft Edge a través de un troyano distribuido a través de sitios web falsos que se hacen pasar por software popular. El troyano despliega una variedad de cargas útiles, desde extensiones de adware básicas que secuestran las búsquedas hasta scripts inseguros más avanzados que instalan extensiones locales diseñadas para recopilar datos personales y ejecutar varios comandos. Este troyano, activo desde 2021, se origina en sitios web de descarga falsificados que ofrecen complementos para juegos y videos en línea.
Tabla de contenido
Cientos de miles de usuarios afectados
El malware y sus extensiones asociadas han afectado a más de 300.000 usuarios en Google Chrome y Microsoft Edge, lo que demuestra la naturaleza generalizada de la amenaza.
El elemento central de esta campaña es el uso de publicidad maliciosa para dirigir a los usuarios a sitios web engañosos que imitan programas conocidos como Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass. Estos sitios engañan a los usuarios que buscan estos programas para que descarguen un troyano, que luego instala las extensiones fraudulentas del navegador.
Los instaladores dañados, que están firmados digitalmente, configuran una tarea programada que activa un script de PowerShell. Este script es responsable de descargar y ejecutar la carga útil de la siguiente etapa desde un servidor remoto.
Los atacantes instalan nuevos navegadores en los dispositivos comprometidos
Esto implica alterar el Registro de Windows para forzar la inserción de extensiones de Chrome Web Store y complementos de Microsoft Edge, que pueden secuestrar consultas de búsqueda en Google y Microsoft Bing, redirigiéndolas a través de servidores controlados por los atacantes.
La extensión está diseñada para que no se pueda eliminar, incluso con el modo de desarrollador habilitado. Las versiones recientes del script también desactivan las actualizaciones del navegador. Además, implementa una extensión local descargada directamente desde un servidor de Comando y Control (C2), equipada con amplias capacidades para interceptar todas las solicitudes web, retransmitirlas al servidor, ejecutar comandos y scripts cifrados e inyectar scripts en cada página web.
Además, secuestra las consultas de búsqueda de Ask.com, Bing y Google, redirigiéndolas a través de sus servidores antes de pasarlas a otros motores de búsqueda.
Los usuarios afectados deben tomar medidas
Los usuarios afectados por el ataque de malware deben tomar las siguientes medidas para mitigar el problema:
- Eliminar la tarea programada que reactiva el malware diariamente.
- Elimine las claves de registro pertinentes.
- Elimina los siguientes archivos y carpetas del sistema:
C:\Windows\system32\Bloqueador de privacidadwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versión 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versión de mayo de 2024)
C:\Windows\Grid interno del kernel
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\protectorlog de privacidad
C:\Windows\NvOptimizerLog
Este tipo de ataque no es algo inédito. En diciembre de 2023, se informó de una campaña similar que involucraba un instalador de troyanos distribuido a través de torrents. Este instalador estaba camuflado como una aplicación VPN, pero en realidad estaba diseñado para ejecutar un "hackeo de actividad de devolución de dinero".
