El equipo de investigación de la firma ReasonLabs ha dado la voz de alarma sobre la existencia de una campaña de malware generalizada que instala extensiones falsas de Google Chrome y Microsoft Edge. Lo haría mediante un troyano y a través de webs falsas que pretenden camuflarse como programas y aplicaciones populares.
"El malware troyano contiene diferentes elementos que van desde simples extensiones de adware que secuestran búsquedas hasta scripts maliciosos más sofisticados que entregan extensiones locales para robar datos privados y ejecutar varios comandos", comentan desde ReasonLabs.
Los cibermalos usan publicidad maliciosa para impulsar páginas que proponen software conocido como Roblox FPS Unlocker, YouTube, VLC Media Player, Steam o KeePass, según se hace eco The Hacker News.
El nuevo malware, existente desde hace tres años, tendría su origen en páginas web de descarga con complementos a juegos online y vídeos. Sin embargo, en lugar de bajar estos los usuarios se llevan consigo un troyano.
El malware, una vez dentro del sistema, puede modificar el Registro de Windows para forzar la instalación de extensiones de la Chrome Web Store y complementos de Microsoft Edge, que son capaces de secuestrar consultas de búsqueda en Google y Microsoft Bing y redirigirlas a través de servidores controlados por atacantes.
"El usuario no puede desactivar la extensión, ni siquiera con el modo de desarrollador activado", advierten desde ReasonLabs. "Las versiones más nuevas del script eliminan las actualizaciones del navegador", añade.
La amenaza también es capaz de secuestrar las consultas de búsqueda de Ask.com, Bing y Google y las canaliza a través de sus servidores y después a otros motores de búsqueda.
Cómo resolverlo
Se estima que el malware y las extensiones habrían impactado en al menos 300.000 usuarios de los navegadores de Google y Microsoft.
ReasonLabs aconseja a los afectados que eliminen la tarea programada que reactiva el malware cada día, eliminen las claves del Registro y supriman estos archivos y carpetas del sistema:
- C:\Windows\system32\Bloqueador de privacidadwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 - versión 2024
- C:\Windows\system32\kondserp_optimizer.ps1 - Versión de mayo de 2024
- C:\Windows\Grid interno del kernel
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\protectorlog de privacidad
- C:\Windows\NvOptimizerLog