I ricercatori di ReasonLabs hanno scoperto un malware che installa diverse estensioni per Google Chrome e Microsoft Edge. Questi add-on possono modificare le query di ricerca per mostrare adware, eseguire comandi e rubare dati personali. Quasi tutte le estensioni sono state rimosse dai rispettivi store.
Pericolosi add-on per Edge e Chrome
I cybercriminali sfruttano la tecnica del malvertising per pubblicizzare su Google alcuni siti fasulli, dai quali è possibile scaricare gli installer di noti software, come Roblox FPS Unlocker, TikTok Video Downloader, YouTube, VLC, Dolphin Emulator e KeePass. Gli installer sono firmati con un certificato legittimo che permette di aggirare tutte le soluzioni di sicurezza.
Invece del software previsto viene eseguito uno script PowerShell che crea un’attività pianificata e scarica un payload da un server remoto. Lo script modifica quindi il registro di Windows per forzare l’installazione delle estensioni pubblicate sugli store di Edge e Chrome.
I ricercatori di ReasonLabs hanno individuato 9 estensioni per Chrome (4 ancora presenti sullo store) e 6 estensioni per Edge (tutte rimosse dallo store). Questi add-on consentono di dirottare le query di ricerca verso siti con adware che generano profitti per i cybercriminali. Possono inoltre rubare credenziali di login e cronologia di navigazione, monitorare le attività online degli utenti ed eseguire i comandi ricevuti dal server C2 (command and control).
Le estensioni non sono visibili nella pagina dedicata dei browser. La rimozione degli add-on richiede una pulizia manuale del registro. È consigliato anche disinstallare e reinstallare Edge e Chrome. Lo script PowerShell disattiva inoltre gli aggiornamenti automatici per impedire la rilevazione del malware con future versioni.
Ti potrebbe interessare
13 ago 2024