Dos PUP (Programas Potencialmente NO Deseados) están secretamente apagando el sistema de Navegación segura de Firefox para asegurarse de que pueden ofrecer anuncios no solicitados e incluso el malware.
Los dos PUP son Shell&Services y Mintcast 3.0.1, que se distribuyen como complementos que están disponibles para los navegadores Firefox, Internet Explorer y Google Chrome, y se instalan generalmente sin el consentimiento del usuario, empaquetado con otro software.
Ambos vienen con una variante nueva del adware Mintcast, que, además de la inyección de anuncios dentro del navegador del usuario mientras navega por sitios web legítimos, también se encarga de desactivar la 'Navegación segura en Firefox'.
'Navegación Segura' es un servicio creado por Google, también implementado en Safari y Firefox, el cual no es más que una lista negra de URLs de sitios web que distribuyen malware. La lista se actualiza constantemente por Google y Mozilla, y funciona en tiempo real, evitando de esta forma que el usuario acceda a estos.
El adware se encarga de buscar y editar los perfiles de usuario almacenados en archivos js
Una de las ventajas del navegador Firefox es que permite al usuario crear varios perfiles utilizando archivos .js. Estos archivos se pueden editar para variar el comportamiento del software, o en este caso, desactivar la navegación segura. El adware se encarga de buscar estos archivos en la carpeta C:Users{nombreUsuario}AppDataRoamingMozillaFirefoxProfiles{perfil}.default. En el hipotético caso de que esta no posea ninguno, este tomará la decisión de crear uno que solo contendrá tres líneas:
user_pref(“browser.safebrowsing.downloads.enabled”, false);
user_pref(“browser.safebrowsing.enabled”, false);
user_pref(“browser.safebrowsing.malware.enabled”, false);
Este software no deseado también se asegura de que esta configuración prevalezca frente a la del usuario. Si este toma la decisión de modificar la configuración desde la propia interfaz del navegador al cerrar y abrir Firefox de nuevo la navegación segura permanecerá desactivada.
Malwarebytes informa que no es la única amenaza que hace uso de esta técnica y en meses anteriores también apareció un software no deseado bautizado con el nombre de Yontoo/BrowseFox.