Uma campanha de malware contínua e generalizada forçou a instalação de extensões maliciosas no Google Chrome e no Microsoft Edge em mais de 300.000 navegadores, modificando os executáveis do navegador para sequestrar páginas iniciais e roubar históricos de navegação.
O instalador e as extensões, normalmente não detectados por ferramentas antivírus, foram projetados para roubar dados e executar comandos em dispositivos infectados.
A campanha foi descoberta por pesquisadores da ReasonLabs, que alertam que os atores de ameaças por trás dela empregam diversos temas de malvertising para alcançar a infecção inicial.
A ReasonLabs diz que a infecção começa quando as vítimas fazem download de instaladores de software de sites falsos promovidos por malvertising nos resultados de pesquisa do Google.
Essa campanha de malware usa iscas como um Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator e KeePass password manager.
Os instaladores baixados são assinados digitalmente pela 'Tommy Tech LTD' e conseguem evitar a detecção por todos os motores de AV no VirusTotal no momento de sua análise pela ReasonLabs.
No entanto, eles não contêm nada que se assemelhe às ferramentas de software prometidas e, em vez disso, executam um script PowerShell baixado para C:\Windows\System32\PrintWorkflowService.ps1 que baixa um payload de um servidor remoto e o executa no computador da vítima.
O mesmo script também modifica o registro do Windows para forçar a instalação de extensões da Chrome Web Store e Microsoft Edge Add-ons.
Uma Tarefa Agendada também é criada para carregar o script PowerShell em diferentes intervalos, permitindo que os atores de ameaças desçam mais malware ou instalem outros payloads.
O malware foi visto instalando um grande número de diferentes extensões do Google Chrome e Microsoft Edge que irão sequestrar suas consultas de pesquisa, alterar sua página inicial e redirecionar suas buscas para os servidores dos atores de ameaças para que eles possam roubar seu histórico de navegação.
A ReasonLabs encontrou as seguintes extensões do Google Chrome vinculadas a esta campanha:
Custom Search Bar – mais de 40 mil usuários
yglSearch – mais de 40 mil usuários
Qcom search bar – mais de 40 usuários
Qtr Search – mais de 6 mil usuários
Micro Search Chrome Extension – mais de 180 mil usuários (removido da loja Chrome)
Active Search Bar – mais de 20 mil usuários (removido da loja Chrome)
Your Search Bar – mais de 40 mil usuários (removido da loja Chrome)
Safe Search Eng – mais de 35 mil usuários (removido da loja Chrome)
Lax Search – mais de 600 usuários (removido da loja Chrome)
As seguintes extensões do Microsoft Edge estão vinculadas a esta campanha:
Simple New Tab – mais de 100 mil usuários (removido da loja Edge)
Cleaner New Tab – mais de 2 mil usuários (removido da loja Edge)
NewTab Wonders – mais de 7 mil usuários (removido da loja Edge)
SearchNukes – mais de 1 mil usuários (removido da loja Edge)
EXYZ Search – mais de 1 mil usuários (removido da loja Edge)
Wonders Tab – mais de 6 mil usuários (removido da loja Edge)
Por meio dessas extensões, os atores maliciosos sequestram as consultas de pesquisa dos usuários e, em vez disso, os redirecionam para resultados maliciosos ou páginas de anúncios que geram receita para o ator da ameaça.
Além disso, eles podem capturar credenciais de login, histórico de navegação e outras informações sensíveis, monitorar a atividade online da vítima e executar comandos recebidos do servidor de comando e controle (C2).
As extensões permanecem ocultas na página de gerenciamento de extensões do navegador, mesmo quando o modo desenvolvedor está ativado, tornando sua remoção complicada.
O malware usa vários métodos para se manter persistente na máquina, tornando-se muito difícil de remover.
Provavelmente requer a desinstalação e reinstalação do navegador para completar a remoção.
Os payloads do PowerShell procurarão e modificarão todos os atalhos dos navegadores da web para forçar o carregamento das extensões maliciosas e desabilitar o mecanismo de atualização automática do navegador quando o navegador for iniciado.
Isso é para evitar que as proteções internas do Chrome sejam atualizadas e detectem o malware.
No entanto, também impede a instalação de futuras atualizações de segurança, deixando o Chrome e o Edge expostos a novas vulnerabilidades descobertas.
Como muitas pessoas dependem do processo de atualização automática do Chrome e nunca o realizam manualmente, isso poderia passar despercebido por muito tempo.
Ainda mais insidioso, o malware modificará as DLLs usadas pelo Google Chrome e pelo Microsoft Edge para sequestrar a página inicial do navegador para uma sob controle do ator da ameaça, como https://microsearch[.]me/.
"O propósito desse script é localizar as DLLs dos navegadores (msedge.dll se o Edge for o padrão) e mudar bytes específicos em locais específicos dentro dela," explica a ReasonLabs.
Fazendo isso, o script consegue sequestrar a pesquisa padrão do Bing ou Google para o portal de pesquisa do adversário.
Ele verifica qual versão do navegador está instalada e busca os bytes de acordo.
A única maneira de remover essa modificação é atualizar para uma nova versão do navegador ou reinstalá-lo, o que deve substituir os arquivos modificados.
Para remover a infecção de seus sistemas, as vítimas têm que passar por um processo de várias etapas para deletar os arquivos maliciosos.
Primeiro, remova a tarefa agendada do Agendador de Tarefas do Windows, procurando por entradas suspeitas que apontem para scripts como 'NvWinSearchOptimizer.ps1', geralmente localizado em 'C:\Windows\system32\.'
Em segundo lugar, remova as entradas de registro maliciosas abrindo o Editor de Registro ('Win+R' > regedit) e navegando até:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist
Clique com o botão direito do mouse em cada chave com o nome da extensão maliciosa e selecione "Excluir" para removê-las.
Finalmente, use uma ferramenta AV para deletar os arquivos de malware do sistema, ou navegue até 'C:\Windows\System32' e delete 'NvWinSearchOptimizer.ps1' (ou similar).
Reinstalar o navegador após o processo de limpeza pode não ser necessário, mas é altamente recomendado devido às modificações altamente invasivas realizadas pelo malware.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...