A extensão do navegador CovidDash sequestra as configurações do navegador

Durante nossa investigação de sites suspeitos, nossa equipe descobriu um programa malicioso que promove a extensão do navegador CovidDash. O software afirma fornecer acesso fácil a informações sobre a pandemia do COVID-19. No entanto, após examinar a ferramenta, descobrimos que ela funciona como um sequestrador de navegador, redirecionando os usuários para o falso mecanismo de pesquisa coviddashboard.extjourney.com. Além disso, a instalação do CovidDash também está vinculada ao golpe "Abnormal Network Traffic On This Device".

Depois de instalado, o CovidDash altera o mecanismo de pesquisa padrão do navegador, a página inicial e os URLs da nova guia/janela do navegador para coviddashboard.extjourney.com. Consequentemente, quando os usuários tentam abrir uma nova guia do navegador ou realizar uma pesquisa na web usando a barra de URL, eles são redirecionados para o mecanismo de pesquisa falso. Normalmente, os mecanismos de pesquisa falsos não podem fornecer resultados de pesquisa precisos, então eles redirecionam para mecanismos de pesquisa legítimos, como Google, Yahoo e Bing.

No entanto, no momento de nossa pesquisa, coviddashboard.extjourney.com redirecionou os usuários por meio de clickcrystal.com e acabou chegando a gsearch.co. Embora o gsearch.co também seja um mecanismo de pesquisa falso, ele pode gerar resultados de pesquisa que incluem conteúdo não confiável, enganoso e potencialmente perigoso. A remoção de sequestradores de navegador pode ser desafiadora, pois eles podem restringir o acesso a configurações relevantes e desfazer quaisquer alterações do usuário. Além disso, o CovidDash usa técnicas para garantir a persistência no dispositivo infectado.

Como os sequestradores de navegador são normalmente distribuídos online?

Os sequestradores de navegador podem ser distribuídos online por meio de vários métodos, incluindo agrupamento de software, e-mails de spam, sites maliciosos e atualizações de software falsas. Uma das formas mais comuns de propagação de sequestradores de navegador é por meio de pacotes de software. Nessa técnica, o sequestrador de navegador é empacotado com software gratuito ou shareware, que o usuário baixa da Internet.

O usuário pode não saber que o software incluído inclui um sequestrador de navegador, pois geralmente é incluído como um componente de instalação opcional. Quando o usuário instala o software gratuito, o sequestrador de navegador também é instalado no computador.

Outra maneira pela qual os sequestradores de navegador podem ser distribuídos é por meio de e-mails de spam que contêm links ou anexos maliciosos. Os usuários geralmente são induzidos a clicar nesses links ou abrir anexos, que baixam e instalam o sequestrador de navegador no computador.

Sites maliciosos que contêm botões de download falsos ou janelas pop-up também podem distribuir sequestradores de navegador. Quando o usuário clica nesses botões ou janelas, o sequestrador de navegador é baixado e instalado no computador.

Finalmente, alguns sequestradores de navegador são disfarçados como atualizações de software legítimas. Os usuários são solicitados a baixar e instalar a atualização, que na verdade instala o sequestrador de navegador no computador.