Uma nova análise da empresa de cibersegurança ReasonLabs revelou uma campanha de malware significativa e contínua dirigida aos utilizadores do Google Chrome e do Microsoft Edge.
A campanha comprometeu, até agora, mais de 300.000 sistemas em todo o mundo, instalando à força extensões de browser maliciosas e alterando os ficheiros principais do browser em sistemas Windows.
Além disso, o ataque também permite que os cibercriminosos roubem dados sensíveis dos utilizadores, manipulem resultados de pesquisa e executem comandos potencialmente nocivos para o sistema da sua vítima.
Como funciona este ataque informático
De acordo com os investigadores, a campanha começa com anúncios online enganadores, conhecidos por "malvertising", que levam os utilizadores a descarregar software aparentemente legítimo. Alguns exemplos das aplicações em que os piratas escondem este malware são o Roblox FPS Unlocker, o leitor de vídeo VLC, o TikTok Video Downloader, o YouTube Downloader e o gestor de palavras-passe KeePass.
Estes instaladores, assinados digitalmente pela "Tommy Tech LTD", são na realidade cavalos de Troia que descarregam e executam secretamente scripts PowerShell maliciosos.
Os scripts têm um duplo propósito: em primeiro lugar, forçar a instalação de uma série de extensões maliciosas do Chrome e do Edge - em seguida, modificam ficheiros DLL, críticos para o navegador.
As extensões instaladas, disfarçadas de ferramentas de pesquisa legítimas, sequestram dados das pesquisas dos utilizadores. Estas redirecionam o tráfego para os servidores dos atacantes, para recolha de dados e produção de lucros.
Para garantir a sua persistência, o malware cria tarefas agendadas nos sistemas infetados, permitindo que se restabeleça mesmo após tentativas de remoção manual.
Além disso, modifica os ficheiros de atalho do navegador e desativa as atualizações automáticas, dificultando a capacidade dos utilizadores de detetar e remover a ameaça.
A ReasonLabs identificou várias extensões do Google Chrome e do Microsoft Edge ligadas a esta campanha.
As extensões maliciosas do Google Chrome incluem:
- Micro Search Chrome Extension (removida da Chrome Store)
- Active Search Bar (removida da Chrome Store)
- Your Search Bar (removida da Chrome Store)
- Safe Search Eng (removida da Chrome Store)
- Lax Search (removida da Chrome Store)
- Custom Search Bar
- yglSearch
- Qcom search bar
- Qtr Search
Quanto ao Microsoft Edge, as seguintes extensões estão associadas à campanha:
- Simple New Tab (removida da Edge Store)
- Cleaner New Tab (removida da Edge Store)
- NewTab Wonders (removida da Edge Store)
- SearchNukes (removida da Edge Store)
- EXYZ Search (removida da Edge Store)
- Wonders Tab (removida da Edge Store)
Apesar do impacto generalizado da campanha, muitos programas antivírus não conseguiram detetar a ameaça.
A ReasonLabs já alertou a Google e a Microsoft para o problema e continua a monitorizar a situação.