Uma campanha de malware em larga escala está sendo observada, instalando extensões maliciosas para os navegadores Google Chrome e Microsoft Edge por meio de um trojan distribuído através de sites falsos que se passam por softwares populares. O malware trojan contém diferentes componentes, desde extensões de adware simples que sequestram buscas até scripts maliciosos mais sofisticados que instalam extensões locais para roubar dados privados e executar vários comandos. Este malware, existente desde 2021, tem origem em imitações de sites de download com complementos para jogos e vídeos online.

O malware e as extensões atingiram, juntos, pelo menos 300.000 usuários do Google Chrome e Microsoft Edge, indicando que a atividade tem um impacto amplo. No centro da campanha está o uso de malvertising para promover sites falsos que imitam software conhecido como Roblox FPS Unlocker, YouTube, VLC media player, Steam ou KeePass, enganando usuários que buscam esses programas a baixar um trojan que serve como canal para instalar as extensões de navegador.

Os instaladores maliciosos, assinados digitalmente, registram uma tarefa agendada que, por sua vez, é configurada para executar um script PowerShell responsável por baixar e executar a carga útil de próxima etapa obtida de um servidor remoto. Isso inclui modificar o Registro do Windows para forçar a instalação de extensões da Chrome Web Store e Microsoft Edge Add-ons, que são capazes de sequestrar consultas de pesquisa no Google e Microsoft Bing e redirecioná-las por meio de servidores controlados pelos atacantes.