Malware trojan di estensione: una minaccia crescente per gli utenti di Google Chrome e Microsoft Edge

È stata rilevata una nuova ondata di malware che prende di mira gli utenti di Google Chrome e Microsoft Edge installando estensioni del browser non autorizzate tramite un trojan distribuito tramite siti Web falsi. Questa campagna, attiva dal 2021, sfrutta siti Web falsi che si spacciano per popolari pagine di download di software per indurre gli utenti ignari a scaricare programmi di installazione dannosi.

Il panorama delle minacce

Il malware, identificato per la prima volta da ReasonLabs, spazia da estensioni adware relativamente semplici che dirottano i risultati di ricerca a script più sofisticati in grado di rubare dati privati ed eseguire comandi non autorizzati su sistemi infetti. Il trojan ha già colpito oltre 300.000 utenti, evidenziando l'impatto diffuso di questa campagna.

Al centro di questa minaccia c'è l'uso del malvertising, in cui gli aggressori creano siti web simili che promuovono software noti come Roblox FPS Unlocker, YouTube, VLC media player, Steam e KeePass. Gli utenti che cercano questi programmi potrebbero essere indotti a scaricare un trojan che funge da canale per l'installazione di estensioni del browser dannose.

Una volta installati, questi programmi di installazione dannosi con firma digitale registrano un'attività pianificata sul sistema della vittima, che attiva uno script PowerShell per scaricare ed eseguire payload aggiuntivi da un server remoto. Questi payload includono modifiche al Registro di sistema di Windows, forzando l'installazione di estensioni dal Chrome Web Store e dai componenti aggiuntivi di Microsoft Edge. Queste estensioni vengono quindi utilizzate per dirottare le query di ricerca su Google e Microsoft Bing, reindirizzandole tramite server controllati dall'aggressore.

Come funziona il malware

Le estensioni dannose installate da questo trojan non sono facilmente rimovibili dagli utenti, anche con la modalità sviluppatore abilitata. Le versioni recenti dello script sono diventate ancora più pericolose rimuovendo gli aggiornamenti del browser, radicando ulteriormente il malware nei sistemi infetti.

Inoltre, un'estensione locale viene lanciata da un server di comando e controllo (C2), dotato di ampie capacità. Intercetta tutte le richieste web, le invia al server, riceve comandi e script crittografati e inietta codice dannoso nelle pagine web. Il malware dirotta anche le query di ricerca da motori di ricerca popolari come Ask.com, Bing e Google, incanalandole attraverso i suoi server prima di reindirizzarle ad altri motori di ricerca.

Come rimuovere l'estensione Trojan Malware

Se sospetti che il tuo sistema sia stato compromesso da questo malware, è fondamentale agire immediatamente per mitigare il danno. Segui questi passaggi per rimuovere il malware e ripristinare il tuo sistema:

1. Elimina l'attività pianificata: individua ed elimina l'attività pianificata che riattiva quotidianamente il malware.
2. Rimuovere le chiavi di registro: accedere al registro di Windows e rimuovere tutte le chiavi associate al malware.
3. Elimina file e cartelle dannosi: rimuovi i seguenti file e directory dal tuo sistema:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (versione 2024)
   • C:\Windows\system32\kondserp_optimizer.ps1 (versione di maggio 2024)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Seguendo questi passaggi, puoi rimuovere il malware e prevenire ulteriori danni al tuo sistema. Tuttavia, è anche consigliabile installare e aggiornare regolarmente un programma antivirus affidabile per proteggersi da minacce future.

Questa campagna malware in corso serve come promemoria delle minacce in evoluzione nel mondo digitale. Restando vigili e cauti, soprattutto quando si scarica software da fonti sconosciute, gli utenti possono proteggere i loro sistemi da questi pericolosi trojan. Verifica sempre l'autenticità dei siti Web e dei download e mantieni aggiornato il tuo software di sicurezza per difenderti dalle minacce più recenti.