Searchtabs.io viene con un mecanismo de persistencia

Searchtabs.io es la URL de un motor de búsqueda falsificado. Al examinar sitios web sospechosos, nuestro equipo se topó con una página web engañosa que utilizaba contenido explícito para incitar a los usuarios a descargar una configuración de instalación. Esta configuración particular incluía un secuestrador de navegador que promueve el uso del sitio web searchtabs.io.

Si bien el software que entra en esta categoría normalmente altera la configuración del navegador para respaldar ciertos sitios web, esta configuración, en nuestro entorno de prueba, no realizó ningún cambio en el navegador. Vale la pena señalar que este secuestrador emplea una técnica para garantizar su persistencia, lo que dificulta a los usuarios recuperar el control de sus navegadores.

Una vez que instalamos la configuración que promueve searchtabs.io en nuestra máquina de prueba, descubrimos que afecta a las nuevas pestañas y ventanas del navegador. Cada vez que se abre una nueva pestaña o ventana, se redirige automáticamente a searchtabs.io, y cada redirección presenta una consulta de búsqueda aleatoria.

Los motores de búsqueda falsos se denominan así porque normalmente no pueden proporcionar resultados de búsqueda legítimos y, en cambio, redirigen a los usuarios a motores de búsqueda de Internet conocidos como Bing, Google o Yahoo. El software de secuestro de navegador tiende a generar redirecciones a motores de búsqueda ilegítimos cuando los usuarios abren nuevas pestañas o ventanas o ingresan consultas de búsqueda en la barra de URL. Sin embargo, como se mencionó anteriormente, el comportamiento del secuestrador de navegador que promociona searchtabs.io es distinto de la norma.

Además, este software emplea una técnica para garantizar su persistencia. Estas redirecciones se inician mediante un proceso conocido como "UITheme.exe". Sin embargo, finalizar este proceso por sí solo no elimina las redirecciones. El secuestrador del navegador utiliza una herramienta llamada "ServiceUI" del Microsoft Deployment Toolkit, que garantiza que "UITheme.exe" se reinicie incluso si se cierra manualmente a través del Administrador de tareas de Windows o después de reiniciar el sistema.

¿Cuáles son algunos de los métodos comunes que utiliza el software malicioso para lograr la persistencia?

El software malicioso a menudo emplea varias técnicas para lograr persistencia en un sistema comprometido. Estos métodos garantizan que el malware permanezca activo y operativo incluso después de que el sistema se reinicie o intente eliminarlo. A continuación se muestran algunos métodos comunes utilizados para lograr la persistencia:

  • Programas y servicios de inicio: el malware puede agregar entradas a los programas o servicios de inicio del sistema, asegurando que se ejecute cada vez que se inicia el sistema.
  • Claves de registro: el malware puede modificar el Registro de Windows para crear o modificar claves y valores que ejecutan el malware durante el inicio del sistema.
  • Tareas programadas: el software malicioso puede crear tareas programadas que se ejecutan en intervalos específicos, lo que permite que el malware se ejecute de manera persistente en segundo plano.
  • Ubicaciones de inicio automático: el malware puede agregarse a ubicaciones de inicio automático, como la carpeta Inicio en el menú Inicio o la carpeta Inicio en el directorio Todos los usuarios.
  • Extensiones y complementos del navegador: el malware basado en el navegador, como el adware o los secuestradores de navegador, puede instalar extensiones o complementos en los navegadores web para controlar y manipular la navegación del usuario.
  • Creación de servicios: el software malicioso puede crear nuevos servicios de Windows o manipular los existentes para garantizar su funcionamiento continuo.
  • Inyección de DLL: el malware puede inyectarse en procesos legítimos o cargar su biblioteca de enlaces dinámicos (DLL) en procesos del sistema, disfrazando su presencia.
  • Cambios en el sistema de archivos: el malware puede crear archivos y carpetas ocultos o del sistema para almacenar sus componentes o datos de configuración, lo que dificulta su detección.
  • Instalación de bootkit o rootkit: el malware avanzado puede instalar bootkits o rootkits, que comprometen el proceso de arranque o el sistema operativo central, lo que los hace extremadamente difíciles de detectar y eliminar.

En Zaib
October 20, 2023
Browser Hijacker, Malware
Spanish
October 20, 2023
Browser Hijacker, Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.