Secuestro del navegador

Forma de software no deseado

El secuestro del navegador es una forma de software no deseado que modifica la configuración de un navegador web sin el permiso del usuario, para inyectar publicidad no deseada en el navegador del usuario. Un secuestrador del navegador puede reemplazar la página de inicio , la página de error o el motor de búsqueda existentes por los suyos propios. ^[1] Estos se utilizan generalmente para forzar visitas a un sitio web en particular , lo que aumenta sus ingresos por publicidad .

Algunos secuestradores de navegador también contienen spyware ; por ejemplo, algunos instalan un software keylogger para recopilar información, como datos bancarios y de autenticación de correo electrónico. Algunos secuestradores de navegador también pueden dañar el registro en sistemas Windows , a menudo de forma permanente.

Si bien algunos secuestros de navegadores se pueden revertir fácilmente, otros casos pueden resultar difíciles de revertir. Existen varios paquetes de software para evitar este tipo de modificaciones.

Muchos programas de secuestro de navegadores se incluyen en paquetes de software que el usuario no eligió y se incluyen como "ofertas" en el instalador de otro programa, a menudo sin instrucciones de desinstalación ni documentación sobre lo que hacen, y se presentan de una manera que está diseñada para ser confusa para el usuario promedio, para engañarlo y hacer que instale software adicional no deseado. ^{[2] [3] [4] [5]}

Existen varios métodos que utilizan los secuestradores de navegadores para acceder a un sistema operativo. Los archivos adjuntos a correos electrónicos y los archivos descargados a través de sitios web sospechosos y torrents son tácticas comunes que utilizan los secuestradores de navegadores. ^{[ cita requerida ]}

Seguridad

Software de seguridad fraudulento

Algunos programas de seguridad fraudulentos también secuestran la página de inicio y, por lo general, muestran un mensaje como "¡ADVERTENCIA! Su equipo está infectado con software espía" para dirigirlo a la página de un proveedor de software antiespía. La página de inicio volverá a la configuración normal una vez que el usuario compre el software. Se sabe que programas como WinFixer secuestran la página de inicio del usuario y la redirigen a otro sitio web.

Páginas de dominio inexistentes

El sistema de nombres de dominio se consulta cuando un usuario escribe el nombre de un sitio web (por ejemplo, wikipedia.org) y el DNS devuelve la dirección IP del sitio web si existe. Si un usuario escribe mal el nombre de un sitio web, el DNS devolverá una respuesta de dominio inexistente (NXDOMAIN).

En 2006, EarthLink comenzó a redirigir los nombres de dominio mal escritos a una página de búsqueda. Esto se hizo interpretando el código de error NXDOMAIN a nivel de servidor. El anuncio generó muchos comentarios negativos y EarthLink comenzó a ofrecer servicios sin esta función. ^[6]

Operación

Los programas no deseados a menudo no incluyen ninguna señal de que están instalados ni instrucciones para desinstalarlos o cancelar su uso. ^[2]

La mayoría de los programas de secuestro cambian constantemente la configuración de los navegadores, lo que significa que las opciones del usuario en su propio navegador se sobrescriben. Algunos programas antivirus identifican el software de secuestro del navegador como software malicioso y pueden eliminarlo. Algunos programas de escaneo de software espía tienen una función de restauración del navegador para restablecer la configuración del navegador del usuario a la normalidad o alertarlo cuando se ha modificado la página de su navegador.

Evitación

A partir de Microsoft Windows 10 , los navegadores web ya no pueden configurarse como predeterminados del usuario sin intervención adicional; el cambio del navegador web predeterminado debe ser realizado manualmente por el usuario desde la página "Aplicaciones predeterminadas" de Configuración, aparentemente para evitar el secuestro del navegador. ^[7]

Ejemplos de secuestradores

Varios secuestradores cambian la página de inicio del navegador, muestran anuncios y/o establecen el motor de búsqueda predeterminado; estos incluyen Astromenda (www.astromenda.com); ^{[8] [9] [10]} Ask Toolbar ( ask.com ); ESurf (esurf.biz) Binkiland (binkiland.com); Delta y Claro ; Dregol ; ^[11] Jamenize ; Mindspark ; Groovorio ; Sweet Page ; Mazy Search ; Search Protect de Conduit junto con search.conduit.com y variantes; Tuvaro ; Spigot ; en.4yendex.com ; Yahoo ; etc.

Barra de herramientas de Babylon

Babylon Toolbar es un secuestrador de navegador que cambia la página de inicio del navegador y establece el motor de búsqueda predeterminado en isearch.babylon.com. También es una forma de adware . Muestra anuncios, enlaces patrocinados y resultados de búsqueda pagos falsos. El programa recopilará términos de búsqueda de sus consultas de búsqueda.

El software de traducción de Babylon solicita que se agregue la barra de herramientas de Babylon durante la instalación. La barra de herramientas también viene incluida como complemento con otras descargas de software. ^[12]

En 2011, el sitio de CNet Download.com comenzó a incluir la barra de herramientas Babylon en paquetes de código abierto como Nmap . Gordon Lyon , el desarrollador de Nmap, estaba molesto por la forma en que los usuarios de su software fueron engañados para usar la barra de herramientas. ^[13] El vicepresidente de Download.com, Sean Murphy, publicó una disculpa: La inclusión de este software fue un error de nuestra parte y pedimos disculpas a las comunidades de usuarios y desarrolladores por el malestar que causó. ^[14]

Existen variantes similares de la barra de herramientas y la página de inicio de búsqueda de Babylon, entre ellas: Bueno Search, Delta Search, Claro Search y Search GOL. Todas estas variantes se declaran propiedad de Babylon en los términos del servicio.

Todas las barras de herramientas fueron creadas por Montiera. ^[15]

Conducto (Búsqueda y protección)

Conduit es un programa potencialmente no deseado ( PUP) que roba información personal y confidencial del usuario y la transfiere a un tercero. Malwarebytes ha identificado esta barra de herramientas como un programa potencialmente no deseado (PUP) ^[16] y normalmente se incluye en las descargas gratuitas. ^{[17] [18]} Estas barras de herramientas modifican el motor de búsqueda predeterminado del navegador, la página de inicio, la página de nueva pestaña y otras configuraciones del navegador. Existen variantes similares de la búsqueda de Conduit, como trovi.com, trovigo.com, better-search.net, seekforsearch.com, searchitdown.com, need4search.com, clearsearches.com, search-armor.com, searchthatup.com, premiumsearchweb.com, junto con otras variantes que se crearon de forma personalizada para el servicio de creación de barras de herramientas que ofrecía Conduit Ltd. ^{[ cita requerida ]}

Un programa llamado "Conduit Search Protect", mejor conocido como "Search Protect by conduit", puede causar graves errores del sistema al desinstalarlo. Afirma proteger la configuración del navegador, pero en realidad bloquea todos los intentos de manipular un navegador a través de la página de configuración; en otras palabras, se asegura de que la configuración maliciosa permanezca sin cambios. Search Protect tiene una opción para cambiar la página de inicio de búsqueda de la página de inicio de búsqueda "recomendada" Trovi, sin embargo, los usuarios han informado que cambia de nuevo a Trovi después de un período de tiempo. ^{[ cita requerida ]} El programa de desinstalación de Search Protect puede hacer que Windows no se pueda iniciar porque el archivo de desinstalación no solo elimina sus propios archivos, sino también todos los archivos de arranque en la raíz de la unidad C: ^{[ cita requerida ]} y deja un archivo BackGroundContainer.dll en el registro de inicio. ^{[ 19 ]} Conduit está asociado con malware , spyware y adware , ya que las víctimas de este secuestrador han informado de ventanas emergentes no deseadas y anuncios incrustados en el texto, en sitios sin anuncios.

Perion Network Ltd. adquirió el negocio ClientConnect de Conduit a principios de enero de 2014, ^[20] y luego se asoció con Lenovo para crear Lenovo Browser Guard, ^[21] que utiliza componentes de Search Protect.

Las víctimas de redireccionamientos no deseados a conduit.com también han informado que han sido atacadas por intentos de phishing y han recibido correos electrónicos no deseados, correo basura, otros mensajes y llamadas telefónicas de vendedores telefónicos. Algunas víctimas afirman que los que llaman afirman ser Apple, Microsoft o su ISP , y que se les dice que se utilizó información personal en algunas llamadas telefónicas, y que algunas de las llamadas se referían a sus hábitos de navegación y al historial de navegación reciente. La información personal utilizada en los intentos de phishing puede estar asociada con software espía. ^[22]

es:istartsurf.com

El secuestrador de navegadores istartsurf.com puede reemplazar las herramientas de búsqueda preferidas. Esta infección viaja junto con aplicaciones de terceros y su instalación puede ser silenciosa. Debido a esto, los usuarios afectados no son conscientes de que el secuestrador ha infectado sus navegadores Internet Explorer , Google Chrome o Mozilla Firefox . ^[23]

Búsqueda diaria.com

Search-daily.com es un secuestrador que puede ser descargado por el troyano Zlob . Redirecciona las búsquedas del usuario a sitios de pornografía . También se sabe que ralentiza el rendimiento del equipo. ^[24]

Snap.do

Snap.do (Smartbar desarrollado por Resoft) es un malware potencial, categorizado como secuestrador de navegador y spyware, que hace que los navegadores de Internet redirijan al motor de búsqueda snap.do. Snap.Do se puede descargar manualmente desde el sitio web de Resoft, aunque muchos usuarios caen en la trampa de sus términos poco éticos. Afecta a Windows y se puede eliminar a través del menú Agregar o quitar programas. Snap.Do también puede descargar muchas barras de herramientas, complementos y plug-ins maliciosos como DVDVideoSoftTB, General Crawler y Save Valet.

Se sabe que General Crawler, instalado por Snap.do, utiliza un proceso de puerta trasera porque se reinstala y se vuelve a habilitar cada vez que un usuario afectado lo elimina a través de su(s) navegador(es).

Snap.do deshabilitará la opción para cambiar su página de inicio y motor de búsqueda predeterminado.

Resoft rastreará la siguiente información:

• El dominio de Internet y la dirección IP desde la que el usuario accede a los Productos de Resoft (ubicación, ID, etc.)
• Resolución de pantalla del monitor de la computadora del usuario
• La fecha y hora en que el usuario accede intencional o involuntariamente a los productos de Resoft.
• Las páginas que el usuario está visitando con los productos de Resoft (con o sin conocimiento del uso de los productos de Resoft, Snap.do)
• Si el usuario se vinculó voluntaria o involuntariamente a un sitio web de Resoft desde otro sitio web de referencia, la dirección de ese sitio

Al utilizar los Productos Resoft, el usuario consiente que sus datos personales sean transferidos y procesados ​​tanto dentro como fuera de los Estados Unidos de América.

Al utilizar el sitio web de Resoft, el usuario acepta los usos anteriores de su información de esta manera por parte de Resoft. ^[25]

Instalador de SourceForge

Un instalador anterior de SourceForge incluía instaladores de adware y PUP. ^[26]

Uno de ellos, en particular, modifica la configuración de los navegadores Firefox, Chrome e Internet Explorer para que muestren el sitio web "istartsurf.com" como página de inicio. Para ello, modifica la configuración del registro e instala un software que restablece la configuración si el usuario intenta cambiarla.

El 1 de junio de 2015, SourceForge afirmó que había dejado de vincular "ofertas de terceros" con proyectos SourceForge sin mantenimiento. ^[27]

Agente Trojan.WinLNK

Un Trojan.WinLNK.Agent (también Trojan:Win32/Startpage.OS ) es la definición de Kaspersky Labs de un troyano descargador , troyano dropper o troyano espía . Su primera detección conocida se remonta al 31 de mayo de 2011, según el Centro de protección contra malware de Microsoft . Este troyano abre un navegador Internet Explorer a una página predefinida (como i.163vv.com/?96 ). Los archivos troyanos con la extensión LNK (expresión) son un acceso directo de Windows a un archivo, programa o carpeta malicioso. Un archivo LNK de esta familia lanza un ejecutable malicioso o puede ser descargado por otro malware . Estos archivos son utilizados principalmente por gusanos para propagarse a través de unidades USB (es decir). ^{[28] [29]} En 2016, India tuvo la mayor cantidad de incidentes relacionados con este troyano con un 18,36 % en todo el mundo. ^[28]

Otros alias:

• Win32/StartPage.NZQ ( ESET ) ^[29]
• Trojan.WinLNK.Startpage ( Kaspersky Labs ) ^[30]
• Troyano:Win32/Startpage.OS ( Microsoft ) ^[29]

Otras variantes:

• Trojan.WinLNK.Agent.ae
• Trojan.WinLNK.Agent.ew ^[31]

Vosterán

Vosteran es un secuestrador de navegador que cambia la página de inicio y el proveedor de búsqueda predeterminado del navegador a vosteran.com. Esta infección se incluye básicamente con otras aplicaciones de terceros. La identidad de Vosteran está protegida por privacyprotect.org de Australia. Vosteran está registrado a través de Whiteknight. ^[32]

Trovi

Se puede encontrar al instalar "Cheat Engine" o una versión diferente de "VLC Player" en www.oldapps.com, o al descargar aplicaciones de ciertos sitios de software gratuito, como Softonic.com o Download.com.

Trovi utiliza Bing (un motor de búsqueda legítimo) para proporcionar resultados al usuario. Aunque la barra de direcciones cambia a Bing.com cuando se muestran los resultados de búsqueda, las palabras clave de búsqueda se ejecutan a través de Trovi de todos modos. Trovi anteriormente utilizaba su propio sitio web para mostrar los resultados de búsqueda con el logotipo en la esquina superior izquierda de la página, pero luego cambió a Bing en un intento de engañar a los usuarios más fácilmente. Trovi no es tan letal como antes al eliminar los anuncios de los resultados de búsqueda según el navegador que se esté utilizando, pero aún se considera un secuestrador de navegador.

También controla la configuración de la página de inicio y de la página de nueva pestaña para impedir que se vuelvan a cambiar a la configuración original. Según el navegador que se utilice, pueden aparecer anuncios en la página.

Cuando infecta, hace que el navegador redirija desde Google y otros motores de búsqueda a trovi.com. ^[33]

Trovi se creó utilizando el servicio de creación de la barra de herramientas Conduit y se sabe que infecta de formas similares a la barra de herramientas Conduit.

Referencias

1. "Corrección y eliminación del secuestro del navegador". Microsoft . Archivado desde el original el 7 de febrero de 2015 . Consultado el 23 de octubre de 2012 .
2. "Criterios de programas potencialmente no deseados de Malwarebytes". Malwarebytes . Archivado desde el original el 2016-04-09 . Consultado el 2015-08-07 .
3. "Calificación de las mejores soluciones anti-malware". Arstechnica. 15 de diciembre de 2009. Archivado desde el original el 2 de febrero de 2014. Consultado el 28 de enero de 2014 .
4. "Enciclopedia de amenazas: Grayware genérico". Trend Micro. Archivado desde el original el 14 de julio de 2014. Consultado el 27 de noviembre de 2012 .
5. "Criterios de los programas basura". Malwarebytes. Archivado desde el original el 9 de abril de 2016. Consultado el 6 de enero de 2019 .
6. Mook, Nate (6 de septiembre de 2006). "EarthLink criticado por redirecciones DNS". betaNews . Archivado desde el original el 1 de mayo de 2012 . Consultado el 9 de mayo de 2012 .
7. "Mozilla critica a Microsoft por dificultar el cambio a Firefox en Windows 10". The Verge . Vox Media. 2015-07-30. Archivado desde el original el 2015-07-31 . Consultado el 18 de octubre de 2015 .
8. "PUA.Astromenda". Symantec . Archivado desde el original el 8 de septiembre de 2015. Consultado el 24 de agosto de 2015 .
9. "Cómo eliminar Astromenda Search de tu navegador". Lavasoft . Archivado desde el original el 5 de septiembre de 2015 . Consultado el 24 de agosto de 2015 .
10. "Elimine Astromenda, Buzzdock y la barra de herramientas Extended Update de su navegador". norton.com . Archivado desde el original el 25 de septiembre de 2015. Consultado el 24 de agosto de 2015 .
11. "Eliminación de Dregol Search | Guía de eliminación". Archivado desde el original el 2021-04-10 . Consultado el 2016-03-22 .
12. Deshaciéndose de Babilonia Archivado el 26 de octubre de 2012 en Wayback Machine Jay Lee, The Houston Chronicle, 25 de julio de 2012
13. Leyden, John. "Download.com lo siente por incluir Nmap con software basura". www.theregister.com . Archivado desde el original el 2023-01-11 . Consultado el 2023-01-11 .
14. Una nota de Sean sobre el instalador de Download.com Archivado el 27 de julio de 2012 en Wayback Machine Download.com 7 de diciembre de 2011
15. "Montiera". montiera.com . Archivado desde el original el 3 de diciembre de 2016 . Consultado el 13 de enero de 2022 .
16. "Cómo eliminar Search Protect de Conduit Ltd". Lavasoft. 1 de junio de 2013. Archivado desde el original el 10 de septiembre de 2014. Consultado el 12 de octubre de 2013 .
17. "Incorpore su software a una barra de herramientas personalizada y comience a ganar dinero". Conduit Ltd. 2013. Archivado desde el original el 2014-03-31 . Consultado el 2013-10-12 .
18. "Descárgateme II: Eliminando los restos de los términos de búsqueda más peligrosos de la Web". Ars Technica . 25 de agosto de 2013. Archivado desde el original el 1 de octubre de 2013. Consultado el 12 de octubre de 2013 .
19. "Reparación del archivo BackgroundContainer.dll que dejó Conduit Ltd". appuals. Archivado desde el original el 26 de marzo de 2015. Consultado el 20 de marzo de 2015 .
20. "Perion completa la adquisición de ClientConnect de Conduit y crea un proveedor líder de soluciones digitales para editoriales" (Comunicado de prensa). Tel Aviv, Israel; San Francisco. Business Wire. 2 de enero de 2014. Archivado desde el original el 13 de junio de 2015. Consultado el 7 de junio de 2015 .
21. "Perion se asocia con Lenovo para crear Lenovo Browser Guard" (Comunicado de prensa). Tel Aviv, Israel; San Francisco. Business Wire. 18 de junio de 2014. Archivado desde el original el 4 de julio de 2015. Consultado el 7 de junio de 2015 .
22. "Cómo eliminar Search Protect de Conduit Ltd". Lavasoft. Archivado desde el original el 2 de diciembre de 2014. Consultado el 3 de diciembre de 2014 .
23. "Eliminar istartsurf". support.kaspersky.com . Kaspersky Lab . Archivado desde el original el 30 de septiembre de 2013 . Consultado el 24 de junio de 2010 .
24. "Secuestrador del navegador". nodsrv. 31 de julio de 2023.
25. "Cómo eliminar el secuestrador de navegador Snap.Do". Lavasoft. Archivado desde el original el 8 de agosto de 2014. Consultado el 4 de agosto de 2014 .
26. "istartsurf.com - secuestro de navegador - página de inicio en todos los navegadores | Endpoint SWAT: proteja a la comunidad de Endpoint". community.broadcom.com . Archivado desde el original el 2023-01-11 . Consultado el 2023-01-11 .
27. "Las ofertas de terceros se presentarán solo con proyectos Opt-In - Blog de la comunidad de SourceForge". Blog de la comunidad de SourceForge . 2015-06-01. Archivado desde el original el 2018-08-11 . Consultado el 2018-08-16 .
28. Amenazas de Kaspersky: TROJAN.WINLNK.RUNNER
29. Troyano abc:Win32/Startpage.OS
30. Amenazas de Kaspersky: TROJAN.WINLNK.STARTPAGE
31. Boletín de seguridad de Kaspersky 2015. Estadísticas generales de 2015 - Securelist
32. "Eliminar Vosteran". Cómo eliminarlo. 25 de noviembre de 2014. Archivado desde el original el 13 de febrero de 2015. Consultado el 25 de noviembre de 2014 .
33. "Cómo eliminar Trovi.com y Trovi Search de Mac o Windows". 2018-09-07. Archivado desde el original el 2022-12-05 . Consultado el 2023-01-11 .

Enlaces externos

• Análisis de un archivo en VirusTotal