Una Nueva Campaña de Malware Atacó a 300.000 Usuarios con Extensiones Falsas para Chrome y Edge

En los últimos días, Investigadores de seguridad descubrieron el curso de una campaña de malware generalizada que instala extensiones falsas de Google Chrome y Microsoft Edge a través de un troyano distribuido y promocionado en sitios web falsos.

«El malware troyano contiene diferentes elementos que van desde simples extensiones de adware que secuestran búsquedas hasta scripts maliciosos más sofisticados que entregan extensiones locales para robar datos privados y ejecutar varios comandos, dijo el equipo de investigación de ReasonLabs en su informe sobre su análisis. Según mencionan, dicho malware existe desde el año 2021 en sitios web de descarga con complementos para juegos y vídeos en línea». El alcance es de al menos 300.000 usuarios de Google Chrome y Microsoft Edge, lo que indica que la actividad tuvo un amplio impacto, ya que, la campaña, impulsó la instalación de software conocido como Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass para engañar a los usuarios que buscan estos programas para que descarguen un troyano, que sirve como conducto para instalar las extensiones del navegador.

Algunas de las acciones que ejecuta el malware una vez activado es, modificar el Registro de Windows para forzar la instalación de extensiones de Chrome Web Store y complementos de Microsoft Edge, que son capaces de secuestrar consultas de búsqueda en Google y Microsoft Bing y redirigirlas a través de servidores controlados por atacantes.

«El usuario no puede desactivar la extensión, ni siquiera con el modo de desarrollador activado», afirmó ReasonLabs. «Las versiones más nuevas del script eliminan las actualizaciones del navegador».

El malware también lanza una extensión local que se descarga directamente desde un servidor de comando y control (C2), y viene con amplias capacidades para interceptar todas las solicitudes web y enviarlas al servidor, recibir comandos y scripts cifrados, e inyectar y cargar scripts en todas las páginas.

Además, secuestra las consultas de búsqueda de Ask.com, Bing y Google, y las canaliza a través de sus servidores y luego a otros motores de búsqueda.

Como medida preventiva, los investigadores recomiendan a los afectados, que eliminen la tarea programada que reactiva el malware cada día, las claves del Registro y los siguientes archivos y carpetas del sistema: