Uma campanha de malware generalizada e contínua foi observada instalando extensões fraudulentas do Google Chrome e do Microsoft Edge por meio de um trojan distribuído por websites falsos que se passam por softwares populares.
“O malware trojan contém diferentes entregas, desde simples extensões de adware que sequestram pesquisas até scripts maliciosos mais sofisticados que entregam extensões locais para roubar dados privados e executar vários comandos”, disse a equipe de pesquisa da ReasonLabs em uma análise.
“Esse malware trojan, existente desde 2021, se origina de imitações de websites de obtain com complementos para jogos e vídeos on-line.”
O malware e as extensões têm um alcance combinado de pelo menos 300.000 usuários do Google Chrome e do Microsoft Edge, indicando que a atividade tem um impacto amplo.
No centro da campanha está o uso de malvertising para enviar websites semelhantes que promovem softwares conhecidos como Roblox FPS Unlocker, YouTube, VLC media participant, Steam ou KeePass para enganar os usuários que procuram esses programas e fazê-los baixar um trojan, que serve como um canal para instalar as extensões do navegador.
Os instaladores maliciosos assinados digitalmente registram uma tarefa agendada que, por sua vez, é configurada para executar um script do PowerShell responsável por baixar e executar a carga útil do próximo estágio obtida de um servidor remoto.
Isso inclui modificar o Registro do Home windows para forçar a instalação de extensões da Chrome Internet Retailer e complementos do Microsoft Edge que são capazes de sequestrar consultas de pesquisa no Google e no Microsoft Bing e redirecioná-las por meio de servidores controlados por invasores.
“A extensão não pode ser desabilitada pelo usuário, mesmo com o Modo Desenvolvedor 'ON'”, disse ReasonLabs. “Versões mais recentes do script removem atualizações do navegador.”
Ele também inicia uma extensão native que é baixada diretamente de um servidor de comando e controle (C2) e vem com recursos abrangentes para interceptar todas as solicitações da net e enviá-las ao servidor, receber comandos e scripts criptografados e injetar e carregar scripts em todas as páginas.
Além disso, ele sequestra consultas de pesquisa do Ask.com, Bing e Google e as encaminha por meio de seus servidores e depois para outros mecanismos de busca.
Esta não é a primeira vez que campanhas semelhantes foram observadas na natureza. Em dezembro de 2023, a empresa de segurança cibernética detalhou outro instalador de Trojan entregue por torrents que instala extensões da net maliciosas disfarçadas de aplicativos VPN, mas que na verdade são projetadas para executar um “hack de atividade de cashback”.
