Segundo os pesquisadores da ReasonLabs, uma campanha de malware instala extensões do Chrome em 3 mil navegadores a força.
Uma campanha de malware em andamento e disseminada forçou a instalação de extensões maliciosas do navegador Google Chrome e Microsoft Edge em mais de 300.000 navegadores, modificando os executáveis do navegador para sequestrar páginas iniciais e roubar o histórico de navegação.
Malware instala extensões do Chrome em 3 mil navegadores
O instalador e as extensões, que geralmente não são detectados por ferramentas antivírus, são projetados para roubar dados e executar comandos em dispositivos infectados.
A campanha foi descoberta por pesquisadores da ReasonLabs que alertam que os agentes de ameaças por trás dela empregam diversos temas de malvertising para atingir a infecção inicial.
A ReasonLabs diz que a infecção começa com as vítimas baixando instaladores de software de sites falsos promovidos por malvertising nos resultados de pesquisa do Google.
Esta campanha de malware usa iscas como Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator e KeePass password manager.
Os instaladores baixados são assinados digitalmente por ‘Tommy Tech LTD’ e evitam com sucesso a detecção por todos os mecanismos AV no VirusTotal no momento de sua análise pelo ReasonLabs.
No entanto, eles não contêm nada que se assemelhe às ferramentas de software prometidas e, em vez disso, executam um script do PowerShell baixado para
C:\Windows\System32\PrintWorkflowService.ps1
que baixa uma carga útil de um servidor remoto e a executa no computador da vítima.
O mesmo script também modifica o registro do Windows para forçar a instalação de extensões da Chrome Web Store e dos complementos do Microsoft Edge.
Uma tarefa agendada também é criada para carregar o script do PowerShell em intervalos diferentes, permitindo que os agentes da ameaça enviem mais malware ou instalem outras cargas úteis.
O malware foi visto instalando um grande número de extensões diferentes do Google Chrome e do Microsoft Edge que sequestrarão suas consultas de pesquisa, alterarão sua página inicial e redirecionarão suas pesquisas pelos servidores do agente da ameaça para que eles possam roubar seu histórico de navegação.
ReasonLabs descobriu que as seguintes extensões do Google Chrome estão vinculadas a esta campanha:
- Custom Search Bar – mais de 40 mil usuários
- yglSearch – mais de 40 mil usuários
- Qcom search bar – mais de 40 usuários
- Qtr Search – mais de 6 mil usuários
- Micro Search Chrome Extension – mais de 180 mil usuários (removida da loja do Chrome)
- Active Search Bar – mais de 20 mil usuários (removida da loja do Chrome)
- Your Search Bar – mais de 40 mil usuários (removida da loja do Chrome)
- Safe Search Eng – mais de 35 mil usuários (removida da loja do Chrome)
- Lax Search – mais de 600 usuários (removida da loja do Chrome)
As seguintes extensões do Microsoft Edge estão vinculadas a esta campanha:
- Simple New Tab – mais de 100.000 mil usuários (removida da loja do Edge)
- Cleaner New Tab – mais de 2 mil usuários (removido da loja Edge)
- NewTab Wonders – mais de 7 mil usuários (removido da loja Edge)
- SearchNukes – mais de 1 mil usuários (removido da loja Edge)
- EXYZ Search – mais de 1 mil usuários (removido da loja Edge)
- Wonders Tab – mais de 6 mil usuários (removido da loja Edge)
Por meio dessas extensões, os agentes maliciosos sequestram as consultas de pesquisa dos usuários e, em vez disso, os redirecionam para resultados maliciosos ou páginas de anúncios que geram receita para o agente da ameaça.
Além disso, eles podem capturar credenciais de login, histórico de navegação e outras informações confidenciais, monitorar a atividade online da vítima e executar comandos recebidos do servidor de comando e controle (C2).
As extensões permanecem ocultas da página de gerenciamento de extensões do navegador, mesmo quando o modo de desenvolvedor está ativado, então sua remoção é complicada.
O malware usa vários métodos para permanecer persistente na máquina, tornando-o muito difícil de remover. Provavelmente, é necessário desinstalar e reinstalar o navegador para concluir a remoção.
As cargas úteis do PowerShell pesquisarão e modificarão todos os links de atalho do navegador da Web para forçar o carregamento das extensões maliciosas e desabilitar o mecanismo de atualização automática do navegador quando o navegador for iniciado.
Isso evita que as proteções integradas do Chrome sejam atualizadas e detectem o malware.
No entanto, também impede a instalação de futuras atualizações de segurança, deixando o Chrome e o Edge expostos a novas vulnerabilidades que são descobertas.
Como muitas pessoas confiam no processo de atualização automática do Chrome e nunca o realizam manualmente, isso pode passar despercebido por um longo tempo.
Ainda mais desonesto, o malware modificará as DLLs usadas pelo Google Chrome e Microsoft Edge para sequestrar a página inicial do navegador para uma sob o controle do agente da ameaça, como https://microsearch[.]me/.
“O objetivo deste script é localizar as DLLs do browsers (msedge.dll se o Edge for o padrão) e para alterar bytes específicos em locais específicos dentro dele”, explica ReasonLabs.
“Fazer isso permite que o script sequestre a pesquisa padrão do Bing ou Google para o portal de pesquisa do adversário. Ele verifica qual versão do navegador está instalada e pesquisa os bytes adequadamente.”
A única maneira de remover essa modificação é atualizar para uma nova versão do navegador ou reinstalá-lo, o que deve substituir os arquivos modificados.
O BleepingComputer contatou o Google para solicitar esclarecimentos sobre as quatro extensões do Chrome que permanecem disponíveis na Web Store, e estamos aguardando sua resposta.
Limpeza manual necessária
Para remover a infecção de seus sistemas, as vítimas precisam passar por um processo de várias etapas para excluir os arquivos maliciosos.
Primeiro, remova a tarefa agendada do Agendador de Tarefas do Windows, procurando por entradas suspeitas que apontem para scripts como ‘NvWinSearchOptimizer.ps1’, geralmente localizado em ‘C:\Windows\system32\.’
Em segundo lugar, remova as entradas maliciosas do registro abrindo o Editor do Registro (‘Win+R’ > regedit) e navegando até:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist
Clique com o botão direito em cada chave com o nome da extensão maliciosa e selecione “Excluir” para removê-la.
Finalmente, use uma ferramenta AV para excluir os arquivos de malware do sistema ou navegue até ‘C:\Windows\System32’ e exclua ‘NvWinSearchOptimizer.ps1’ (ou similar).
Reinstalar o navegador após o processo de limpeza pode não ser necessário, mas é altamente recomendado devido às modificações altamente invasivas realizadas pelo malware.