Se ha observado una campa\u00f1a de malware generalizada y en curso que instala extensiones falsas de Google Chrome y Microsoft Edge a trav\u00e9s de un troyano distribuido mediante sitios web falsos que se hacen pasar por software popular.<\/p>\n
“El malware troyano contiene diferentes entregables que van desde simples extensiones de adware que secuestran b\u00fasquedas hasta scripts maliciosos m\u00e1s sofisticados que entregan extensiones locales para robar datos privados y ejecutar varios comandos”, dijo el equipo de investigaci\u00f3n de ReasonLabs. dicho<\/a> en un an\u00e1lisis.<\/p>\n “Este malware troyano, existente desde 2021, tiene su origen en imitaciones de sitios web de descarga con complementos para juegos y v\u00eddeos en l\u00ednea”.<\/p>\n El malware y las extensiones tienen un alcance combinado de al menos 300.000 usuarios de Google Chrome y Microsoft Edge, lo que indica que la actividad tiene un impacto amplio.<\/p>\n En el centro de la campa\u00f1a est\u00e1 el uso de publicidad maliciosa para impulsar sitios web similares que promueven software conocido como Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass para enga\u00f1ar a los usuarios que buscan estos programas para que descarguen un troyano, que sirve como conducto para instalar las extensiones del navegador.<\/p>\n Los instaladores maliciosos firmados digitalmente registran una tarea programada que, a su vez, est\u00e1 configurada para ejecutar un script de PowerShell responsable de descargar y ejecutar la carga \u00fatil de la siguiente etapa obtenida de un servidor remoto.<\/p>\n Esto incluye modificar el Registro de Windows para forzar la instalaci\u00f3n de extensiones de Chrome Web Store y complementos de Microsoft Edge que son capaces de secuestrar consultas de b\u00fasqueda en Google y Microsoft Bing y redirigirlas a trav\u00e9s de servidores controlados por atacantes.<\/p>\n “El usuario no puede desactivar la extensi\u00f3n, ni siquiera con el modo de desarrollador activado”, afirm\u00f3 ReasonLabs. “Las versiones m\u00e1s nuevas del script eliminan las actualizaciones del navegador”.<\/p>\n Tambi\u00e9n lanza una extensi\u00f3n local que se descarga directamente desde un servidor de comando y control (C2), y viene con amplias capacidades para interceptar todas las solicitudes web y enviarlas al servidor, recibir comandos y scripts cifrados, e inyectar y cargar scripts en todas las p\u00e1ginas.<\/p>\n Adem\u00e1s, secuestra las consultas de b\u00fasqueda de Ask.com, Bing y Google, y las canaliza a trav\u00e9s de sus servidores y luego a otros motores de b\u00fasqueda.<\/p>\n No es la primera vez que se observan campa\u00f1as similares en la red. En diciembre de 2023, la empresa de ciberseguridad detallado<\/a> Otro instalador troyano distribuido a trav\u00e9s de torrents que instala extensiones web maliciosas haci\u00e9ndose pasar por aplicaciones VPN pero que en realidad est\u00e1n dise\u00f1adas para ejecutar un “hackeo de actividad de devoluci\u00f3n de dinero”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevo-malware-ataca-a-300000-usuarios-con-extensiones-falsas-para.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n