Segurança

6 jun, 2018

Kaspersky Lab descobre extensão maliciosa no Google Chrome atacando usuários de internet banking no Brasil

visualizações
Publicidade

No final de abril de 2018, os produtos da Kaspersky Lab detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”, em português) que estava se comunicando com uma zona de domínio suspeita, normalmente usada por cibercriminosos. A extensão maliciosa, segundo nossos especialistas, atacou 98 clientes brasileiros de vários bancos do país.

Um trojan bancário é um tipo de malware que tem como objetivo roubar as credenciais dos usuários – como logins, senhas e números de identificação – e, também, dinheiro de suas vítimas. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha de um criminoso – principalmente por razões técnicas, é muito mais fácil que os criminosos desenvolvam as próprias extensões de adware.

Extensões maliciosas, quando instaladas, tendem a utilizar diferentes técnicas para impedir detecções realizadas por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer uma comunicação em tempo real com o servidor de controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima venha a visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário inserisse suas credenciais, elas fossem passadas não apenas para os sistemas bancários on-line, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano que podem causar, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.

“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Os produtos da Kaspersky Lab detectam e bloqueiam com êxito a extensão maliciosa com o veredito HEUR: Trojan-Banker.Script. Generic. Além disso, o recurso Safe Money nas principais soluções de segurança da Kaspersky Lab sugere a abertura de sites em modo seguro no momento em que usuários inserem seus dados pessoais em um sistema de pagamento ou qualquer sistema bancário on-line, para que evite a contaminação por cibercriminosos durante todo o processo. A extensão maliciosa foi removida da Chrome Web Store após aviso enviado ao Google.