Troyano de extensión: una amenaza creciente para los usuarios de Google Chrome y Microsoft Edge
Se ha detectado una nueva ola de malware que ataca a los usuarios de Google Chrome y Microsoft Edge instalando extensiones de navegador falsas a través de un troyano distribuido a través de sitios web falsos. Esta campaña, que lleva activa desde 2021, aprovecha sitios web falsos que se hacen pasar por páginas de descarga de software populares para engañar a los usuarios desprevenidos y hacer que descarguen instaladores maliciosos.
Table of Contents
El panorama de amenazas
El malware, identificado por primera vez por ReasonLabs, abarca desde extensiones de adware relativamente simples que secuestran los resultados de búsqueda hasta scripts más sofisticados capaces de robar datos privados y ejecutar comandos no autorizados en los sistemas infectados. El troyano ya ha afectado a más de 300.000 usuarios, lo que pone de relieve el amplio impacto de esta campaña.
En el centro de esta amenaza se encuentra el uso de publicidad maliciosa, en la que los atacantes crean sitios web similares que promocionan software conocido como Roblox FPS Unlocker, YouTube, VLC media player, Steam y KeePass. Los usuarios que buscan estos programas pueden verse inducidos a descargar un troyano que sirve como conducto para instalar extensiones de navegador maliciosas.
Una vez instalados, estos instaladores maliciosos firmados digitalmente registran una tarea programada en el sistema de la víctima, que activa un script de PowerShell para descargar y ejecutar cargas útiles adicionales desde un servidor remoto. Estas cargas útiles incluyen modificaciones en el Registro de Windows, lo que obliga a la instalación de extensiones de Chrome Web Store y complementos de Microsoft Edge. Estas extensiones se utilizan luego para secuestrar consultas de búsqueda en Google y Microsoft Bing, redirigiéndolas a través de servidores controlados por el atacante.
Cómo funciona el malware
Las extensiones maliciosas instaladas por este troyano no son fáciles de eliminar para los usuarios, incluso con el modo de desarrollador habilitado. Las versiones recientes del script se han vuelto aún más peligrosas al eliminar las actualizaciones del navegador, lo que afianza aún más el malware en los sistemas infectados.
Además, se lanza una extensión local desde un servidor de comando y control (C2), equipado con amplias capacidades. Intercepta todas las solicitudes web, las envía al servidor, recibe comandos y scripts cifrados e inyecta código malicioso en las páginas web. El malware también secuestra consultas de búsqueda de motores populares como Ask.com, Bing y Google, canalizándolas a través de sus servidores antes de redirigirlas a otros motores de búsqueda.
Cómo eliminar el malware troyano de extensión
Si sospecha que su sistema ha sido afectado por este malware, es fundamental tomar medidas inmediatas para mitigar el daño. Siga estos pasos para eliminar el malware y restaurar su sistema:
- Eliminar la tarea programada: localice y elimine la tarea programada que reactiva el malware diariamente.
- Eliminar claves del registro: acceda al Registro de Windows y elimine cualquier clave asociada con el malware.
- Eliminar archivos y carpetas maliciosos: elimine los siguientes archivos y directorios de su sistema:
-
C:\Windows\system32\Privacyblockerwindows.ps1 -
C:\Windows\system32\Windowsupdater1.ps1 -
C:\Windows\system32\WindowsUpdater1Script.ps1 -
C:\Windows\system32\Optimizerwindows.ps1 -
C:\Windows\system32\Printworkflowservice.ps1 -
C:\Windows\system32\NvWinSearchOptimizer.ps1(versión 2024) -
C:\Windows\system32\kondserp_optimizer.ps1(versión de mayo de 2024) -
C:\Windows\InternalKernelGrid -
C:\Windows\InternalKernelGrid3 -
C:\Windows\InternalKernelGrid4 -
C:\Windows\ShellServiceLog -
C:\windows\privacyprotectorlog -
C:\Windows\NvOptimizerLog
-
Si sigue estos pasos, podrá eliminar el malware y evitar mayores daños en su sistema. Sin embargo, también se recomienda instalar y actualizar periódicamente un programa antivirus de confianza para protegerse contra futuras amenazas.
Esta campaña de malware en curso sirve como recordatorio de las amenazas en constante evolución en el mundo digital. Si se mantiene alerta y es cauteloso, especialmente al descargar software de fuentes desconocidas, los usuarios pueden proteger sus sistemas de estos troyanos peligrosos. Verifique siempre la autenticidad de los sitios web y las descargas, y mantenga actualizado su software de seguridad para defenderse de las amenazas más recientes.
