Se ha observado una campaña de malware que instala extensiones falsas de Google Chrome y Microsoft Edge a través de un troyano distribuido a través de sitios web falsos. El malware consta de varios elementos, desde simples extensiones de adware hasta scripts sofisticados que ofrecen extensiones locales para robar datos privados y ejecutar comandos. Existente desde 2021, el malware y las extensiones tienen un impacto en al menos 300.000 usuarios de estos navegadores.

La campaña se centra en publicidad maliciosa para fomentar sitios web similares que promocionan software como Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass. Los instaladores maliciosos registran digitalmente una tarea para ejecutar un script de PowerShell responsable de descargar y ejecutar la carga desde un servidor remoto.

Esto incluye modificar el Registro de Windows para forzar la instalación de extensiones de Chrome Web Store y extensiones de Microsoft Edge que pueden rastrear consultas de búsqueda en Google y Microsoft Bing y redirigirlas a servidores controlados por atacantes.

Acciones recomendadas

Para los usuarios afectados incluye eliminar la tarea programada que reactiva el malware cada día, eliminar claves de registro y eliminar los siguientes archivos y carpetas del sistema:

– C:\Windows\system32\Bloqueador de privacidadwindows.ps1

– C:\Windows\system32\Windowsupdater1.ps1

– C:\Windows\system32\WindowsUpdater1Script.ps1

– C:\Windows\system32\Optimizerwindows.ps1

– C:\Windows\system32\Printworkflowservice.ps1

– C:\Windows\system32\NvWinSearchOptimizer.ps1 – versión 2024

– C:\Windows\system32\kondserp_optimizer.ps1 – Versión de mayo de 2024

– C:\Windows\Grid interno del kernel

– C:\Windows\InternalKernelGrid3

– C:\Windows\InternalKernelGrid4

– C:\Windows\ShellServiceLog

– C:\windows\protectorlog de privacidad

– C:\Windows\NvOptimizerLog

Fuente: https://thehackernews.com/2024/08/new-malware-hits-300000-users-with.html