Foram os investigadores do Malwarebytes que descobriram uma campanha de adware que envolvia um cavalo de tróia designado por Extembro, e que é um modificador de DNS, cujo objetivo era impedir que os utilizadores não acedessem a websites de segurança.

O trojan é devolvido por um bundler, conhecido por Trojan.IStartSurf. O utilizador só se consegue dar conta da sua existência quando se dirige às opções de DNS avançado no Windows e se depara com quatro novas entradas de DNS.

Ações do trojan

De forma a conseguir ganhar persistência, o trojan cria uma tarefa agendada com num nome qualquer e que aponta para uma pasta com localização fixa, e adiciona um certificado à lista dos certificados de raiz do Windows.

O endereçamento de ipv6 é desativado através da alteração do valor de registo "DisabledComponents" em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters.

O Trojan modifica também o ficheiro user.js pertencente ao Firefox, configurando o browser para usar a loja de certificados do Windows onde o seu certificado se encontra instalado, além de que o mesmo ficheiro altera as configurações da raiz dos certificados, nomeadamente a opção security_enterprise_roots.enabled para "true", forçando o browser desta forma a incluir o novo certificado.

Como corrigir o problema?

Para restaurar as definições do DNS, os utilizadores devem remover as entradas de DNS nas configurações avançadas sem reiniciar o sistema.

De forma a que o Firefox volte às configurações iniciais, os utilizadores devem proceder à opção do about:config, no browser, procurar por security.enterprise_roots.enabled e alterar para "false".

Fonte: https://cybersecurityboard.com/threat-actors-use-extenbro-dns-changer-in-adware-campaign

Mais informações no blogue oficial da Malwarebytes: https://blog.malwarebytes.com/detections/trojan-dnschanger/

e