Campanha de malware sequestra centenas de milhares de browsers

Afonso Henriques
Afonso Henriques
Tempo de leitura: 2 min.

Uma nova análise da empresa de cibersegurança ReasonLabs revelou uma campanha de malware significativa e contínua dirigida aos utilizadores do Google Chrome e do Microsoft Edge.
A campanha comprometeu, até agora, mais de 300.000 sistemas em todo o mundo, instalando à força extensões de browser maliciosas e alterando os ficheiros principais do browser em sistemas Windows.

Além disso, o ataque também permite que os cibercriminosos roubem dados sensíveis dos utilizadores, manipulem resultados de pesquisa e executem comandos potencialmente nocivos para o sistema da sua vítima.

Como funciona este ataque informático

Malware Browser 2024
Crédito: Shutterstock/Graphic_Gurus

De acordo com os investigadores, a campanha começa com anúncios online enganadores, conhecidos por "malvertising", que levam os utilizadores a descarregar software aparentemente legítimo. Alguns exemplos das aplicações em que os piratas escondem este malware são o Roblox FPS Unlocker, o leitor de vídeo VLC, o TikTok Video Downloader, o YouTube Downloader e o gestor de palavras-passe KeePass.

Estes instaladores, assinados digitalmente pela "Tommy Tech LTD", são na realidade cavalos de Troia que descarregam e executam secretamente scripts PowerShell maliciosos.

Os scripts têm um duplo propósito: em primeiro lugar, forçar a instalação de uma série de extensões maliciosas do Chrome e do Edge - em seguida, modificam ficheiros DLL, críticos para o navegador.

As extensões instaladas, disfarçadas de ferramentas de pesquisa legítimas, sequestram dados das pesquisas dos utilizadores. Estas redirecionam o tráfego para os servidores dos atacantes, para recolha de dados e produção de lucros.

Para garantir a sua persistência, o malware cria tarefas agendadas nos sistemas infetados, permitindo que se restabeleça mesmo após tentativas de remoção manual.

Além disso, modifica os ficheiros de atalho do navegador e desativa as atualizações automáticas, dificultando a capacidade dos utilizadores de detetar e remover a ameaça.

A ReasonLabs identificou várias extensões do Google Chrome e do Microsoft Edge ligadas a esta campanha.

As extensões maliciosas do Google Chrome incluem:

  • Micro Search Chrome Extension (removida da Chrome Store)
  • Active Search Bar (removida da Chrome Store)
  • Your Search Bar (removida da Chrome Store)
  • Safe Search Eng (removida da Chrome Store)
  • Lax Search (removida da Chrome Store)
  • Custom Search Bar
  • yglSearch
  • Qcom search bar
  • Qtr Search

Quanto ao Microsoft Edge, as seguintes extensões estão associadas à campanha:

  • Simple New Tab (removida da Edge Store)
  • Cleaner New Tab (removida da Edge Store)
  • NewTab Wonders (removida da Edge Store)
  • SearchNukes (removida da Edge Store)
  • EXYZ Search (removida da Edge Store)
  • Wonders Tab (removida da Edge Store)

Apesar do impacto generalizado da campanha, muitos programas antivírus não conseguiram detetar a ameaça.

A ReasonLabs já alertou a Google e a Microsoft para o problema e continua a monitorizar a situação.

Afonso Henriques
Afonso Henriques
O Afonso, tendo explorado algumas áreas, sempre teve um gosto especial por jornalismo. Ávido apreciador de videojogos e tecnologia desde muito novo.