Un nuevo y peligroso virus está atacando Chrome y Edge con extensiones infectadas
Expertos en seguridad informan de una nueva infección, un virus que está circulando por la red y que está instalando extensiones infectadas en los navegadores Chrome y Edge de los usuarios. El riesgo es alto, puesto que las personas afectadas se cuentan en más de 300.000, mientras que el repertorio de extensiones implicadas también es elevado tal y como te vamos a detallar en las próximas líneas.
Desde el equipo de investigadores de ReasonLabs informan acerca de una campaña de malware que se encuentra activa en estos momentos y que supone un riesgo elevado para los usuarios. El contacto inicial de la infección se produce de una manera cada vez más extendida y que, visto lo visto, está teniendo un alto índice de contagios. A partir de ahí se pone en marcha el plan de los cibercriminales para llegar a causar estragos en los equipos de los usuarios.
Una descarga infectada
Todo comienza descargando un programa con virus desde Google. Por desgracia, los anuncios que aparecen en los resultados de búsqueda de Google pueden contener enlaces infectados y resulta una vía de infección que los atacantes están utilizando cada vez más. Lo que hacen es publicar anuncios que parecen ser enlaces de descarga auténticos. El usuario se los encuentra al buscar la descarga del programa que le interesa y los descarga de esa forma pensando que está seguro.
El problema es que, cuando se ha descargado el archivo, el usuario se encuentra con que, después de instalarlo, en su ordenador no aparece lo que pensaba que había descargado. En realidad, no aparecerá nada que pueda ver de una manera apreciable a primera vista. Pero, en el trasfondo, el virus ya habrá infectado el ordenador y desde ahí continuará su proceso para seguir afectando al equipo.
Según dicen quienes han descubierto el virus, algunos de los programas por los que se hace pasar el malware son Roblox FPS Unlocker, YouTube Downloader, TikTok Video Downloader o VLC Video Player, entre otros. Por lo tanto, si tienes intención de descargar uno de estos programas, asegúrate hacerlo desde su web oficial y nunca a través de los resultados de búsqueda de Google.
Descubriendo la amenaza
Comentan desde ReasonLabs que hay una serie de factores a tener en cuenta. Lo primero que les ha ayudado a descubrir lo que estaba pasando es que esos archivos infectados con virus que se están escondiendo en los resultados de búsqueda están firmados, en todos los casos, por Tommy Tech LTD. Además, también se han fijado en que, en todos los casos, son archivos ejecutables que están diseñados para que los antivirus y los sistemas de detección de amenazas no puedan llegar a identificarlos. Se camuflan tan bien que llega a ser complicado frenarlos antes de que sea demasiado tarde.
Como decimos, los archivos infectados no instalan los programas en sí, sino que ejecutan el script de PowerShell C:WindowsSystem32PrintWorkflowService.ps1. Eso hace que, en el ordenador de la víctima, se instale el archivo que actúa como siguiente paso de la infección. También se hace un cambio en el registro de Windows y eso le permite al atacante comenzar a instalar extensiones infectadas en el navegador, ya sea Chrome o Edge.
Por ello, no es mala idea echar un vistazo a las extensiones que tienes instaladas en tu navegador para comprobar que no tengas alguna de las que se están usando con virus. En Chrome son las siguientes: Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng y Lax Search. Aunque algunas de ellas no han estado muy activas, hay que decir que Micro Search Chrome Extension llegó a acumular 180.000 descargas antes de ser eliminada de la tienda de extensiones de Chrome. Además, algunas de estas extensiones infectadas todavía no han desaparecido de la tienda, aunque posiblemente sea algo que ocurra en las próximas horas.
En el caso de Edge, el navegador de Microsoft también tiene su propia ración de extensiones infectadas. La de mayor gravedad es Simple New Tab, cuya cifra de instalaciones ha pasado de las 100.000. Otras de las infecciones se han encontrado en Cleaner New Tab, SearchNukes, NewTab Wonders, Wonders Tab y EXYZ Search. Por suerte, todas han sido eliminadas de la Edge Store, aunque eso no significa que no puedas tener alguna que se haya instalado sin que te des cuenta.
Todas estas extensiones infectadas se quedan escondidas en el equipo y lo que hacen es robar datos de nombres de usuario y contraseñas, todo el historial de navegación y cualquier otro tipo de información personal. También pueden vigilar la actividad de los usuarios y, además, implementan sistemas que modifican las páginas de acceso de los navegadores y buscadores para generar ingresos que van directamente a las arcas de los responsables de este virus.