Malware Trojan de extensão: uma ameaça crescente para usuários do Google Chrome e Microsoft Edge

trojan horse

Uma nova onda de malware foi detectada visando usuários do Google Chrome e Microsoft Edge instalando extensões de navegador desonestas por meio de um trojan distribuído por sites falsos. Esta campanha, que está ativa desde 2021, aproveita sites de imitação se passando por páginas populares de download de software para enganar usuários desavisados a baixar instaladores maliciosos.

A paisagem da ameaça

O malware, identificado pela primeira vez pelo ReasonLabs, varia de extensões de adware relativamente simples que sequestram resultados de pesquisa a scripts mais sofisticados, capazes de roubar dados privados e executar comandos não autorizados em sistemas infectados. O trojan já afetou mais de 300.000 usuários, destacando o impacto generalizado desta campanha.

No cerne dessa ameaça está o uso de malvertising, onde os invasores criam sites semelhantes promovendo softwares conhecidos como Roblox FPS Unlocker, YouTube, VLC media player, Steam e KeePass. Usuários que procuram por esses programas podem ser atraídos para baixar um trojan que serve como um canal para instalar extensões maliciosas do navegador.

Uma vez instalados, esses instaladores maliciosos assinados digitalmente registram uma tarefa agendada no sistema da vítima, que aciona um script do PowerShell para baixar e executar payloads adicionais de um servidor remoto. Esses payloads incluem modificações no Registro do Windows, forçando a instalação de extensões da Chrome Web Store e Microsoft Edge Add-ons. Essas extensões são então usadas para sequestrar consultas de pesquisa no Google e no Microsoft Bing, redirecionando-as por meio de servidores controlados pelo invasor.

Como o malware opera

As extensões maliciosas instaladas por este trojan não são facilmente removíveis pelos usuários, mesmo com o Modo Desenvolvedor habilitado. Versões recentes do script se tornaram ainda mais perigosas ao remover atualizações do navegador, entrincheirando ainda mais o malware em sistemas infectados.

Além disso, uma extensão local é lançada de um servidor de comando e controle (C2), equipado com recursos extensivos. Ele intercepta todas as solicitações da web, as envia para o servidor, recebe comandos e scripts criptografados e injeta código malicioso em páginas da web. O malware também sequestra consultas de pesquisa de mecanismos populares como Ask.com, Bing e Google, canalizando-as por seus servidores antes de redirecioná-las para outros mecanismos de pesquisa.

Como remover o malware Trojan de extensão

Se você suspeita que seu sistema foi comprometido por esse malware, é crucial tomar medidas imediatas para mitigar os danos. Siga estas etapas para remover o malware e restaurar seu sistema:

  1. Excluir a tarefa agendada: localize e exclua a tarefa agendada que reativa o malware diariamente.
  2. Remover chaves do Registro: acesse o Registro do Windows e remova todas as chaves associadas ao malware.
  3. Excluir arquivos e pastas maliciosos: Remova os seguintes arquivos e diretórios do seu sistema:
    • C:\Windows\system32\Privacyblockerwindows.ps1
    • C:\Windows\system32\Windowsupdater1.ps1
    • C:\Windows\system32\WindowsUpdater1Script.ps1
    • C:\Windows\system32\Optimizerwindows.ps1
    • C:\Windows\system32\Printworkflowservice.ps1
    • C:\Windows\system32\NvWinSearchOptimizer.ps1 (versão 2024)
    • C:\Windows\system32\kondserp_optimizer.ps1 (versão de maio de 2024)
    • C:\Windows\InternalKernelGrid
    • C:\Windows\InternalKernelGrid3
    • C:\Windows\InternalKernelGrid4
    • C:\Windows\ShellServiceLog
    • C:\windows\privacyprotectorlog
    • C:\Windows\NvOptimizerLog

Seguindo esses passos, você pode remover o malware e evitar mais danos ao seu sistema. No entanto, também é recomendado instalar e atualizar regularmente um programa antivírus confiável para proteger contra ameaças futuras.

Esta campanha de malware em andamento serve como um lembrete das ameaças em evolução no mundo digital. Ao permanecerem vigilantes e cautelosos, especialmente ao baixar software de fontes desconhecidas, os usuários podem proteger seus sistemas desses trojans perigosos. Sempre verifique a autenticidade de sites e downloads e mantenha seu software de segurança atualizado para se defender contra as ameaças mais recentes.

Por Zane
August 12, 2024
Trojan
Portuguese
August 12, 2024
Trojan

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.