A América Latina foi atingida por ataques cibernéticos usando extensões maliciosas do Google Chrome. Os invasores tiveram como alvo instituições financeiras, sites de reserva, e mensagens instantâneas. O malware usado nestes ataques foi apelidado de Predasus.
Malware Predasus tem como alvo navegadores baseados em Chromium na América Latina
Analistas de ameaças descobriram um novo malware chamado “Predasus”. Os invasores usam esse malware inserir código prejudicial por meio de uma extensão do Chrome e empregar este método para atacar vários sites, incluindo a versão web do WhatsApp. Os invasores entram e exploram os sites visados por meio de canais legítimos para implantar o malware Predasus, permitindo-lhes roubar usuários’ dados confidenciais e financeiros. Predasus se envolve em diversas atividades maliciosas, como obter informações confidenciais, como detalhes de login, dados financeiros, e informações pessoais.
Cadeia de infecção Predasus
As extensões do navegador podem infectar seu dispositivo de várias maneiras. Eles explorar vulnerabilidades do navegador ou do sistema operacional, incluindo engenharia social, para induzir os usuários a baixá-los. O cenário é clássico – um usuário abre um anexo de e-mail, um PDF, Palavra, ou arquivo Excel. O anexo contém malware que infecta furtivamente o computador do usuário e é implantado automaticamente após o download. O malware então se conecta ao primeiro comando e controle (C&C) servidor e baixa vários arquivos gravados em uma pasta chamada “extensão_chrome” no %DADOS DO APLICATIVO% pasta. Ele encerra qualquer processo associado ao Google Chrome e cria arquivos .LNK maliciosos em vários locais, substituindo os legítimos. Além disso, a extensão ganha algumas permissões:
- “guias”: Permite que a extensão acesse e modifique as guias do navegador e seu conteúdo.
- “fundo”: Permite que a extensão seja executada em segundo plano, mesmo quando a janela pop-up da extensão está fechada.
- “armazenar”: Permite que a extensão armazene e recupere dados do armazenamento local do navegador.
- “alarmes”: Permite que a extensão agende tarefas ou lembretes em horários específicos.
- “biscoitos”: Permite que a extensão acesse e modifique cookies de qualquer site que o usuário visitar.
- “parado”: Permite que a extensão detecte quando o sistema do usuário está ocioso (ou seja, não sendo usado ativamente).
- “webRequest”: Permite que a extensão monitore, bloquear, ou modificar solicitações de rede feitas pelo navegador.
- “webRequestBlocking”: Permite que a extensão bloqueie solicitações de rede feitas pelo navegador.
- “exibição do sistema”: Permite que a extensão detecte e ajuste as configurações de exibição no sistema do usuário.
- “http://*/*”: Permite que a extensão acesse qualquer site HTTP.
- “https://*/*”: Permite que a extensão acesse qualquer site HTTPS.
- “Dados de navegação”: Permite que a extensão limpe os dados de navegação do usuário (como histórico e cache) para sites específicos.
Algumas dessas permissões representam um risco porque permitem que uma extensão acesse ou modifique dados confidenciais do usuário.
Quais dados estão em risco?
De acordo com o IBM Security Lab, Predasus foi visto em muitas atividades maliciosas, Incluindo modificando o comportamento do navegador e roubando informações confidenciais dados como credenciais de login, informação financeira, e dados pessoais. Além disso, esse ataque usa o WhatsApp Web. Como o WhatsApp é popular em alguns países como o Brasil, México, e Índia, os invasores podem obter informações potencialmente valiosas suficientes. Usando um site de pagamento de phishing, golpistas roubam informações de pagamento da vítima sob o pretexto de pagar por uma assinatura. Além disso, o site de phishing pede um código de confirmação que a vítima recebeu por mensagem de texto. Desta maneira, os fraudadores acessam a conta bancária da vítima. Em última análise, os invasores vendem os dados obtidos na Darknet.
Dicas de segurança
Para evitar consequências desagradáveis, você deve ser ciberhigiênico e observar o que instala. Os hackers sempre buscam novas formas de propagação de malware, e sua atenção pode efetivamente repelir todas as suas tentativas.
- Tenha cuidado com os e-mails que você recebe. Este conselho se repete continuamente, enquanto os hackers continuam usando e-mails falsificados para espalhar malware. Tópico estranho, remetente desconhecido, erros de digitação – todas essas coisas deveriam levantar suspeitas.
- Baixe apenas extensões das quais você tem certeza. Mesmo usar a Chrome Web Store como fonte não significa que você está seguro. Os hackers têm suas maneiras de enviar plug-ins maliciosos até mesmo para este mercado – deixe de lado fontes de terceiros.
- Usar autenticação de dois fatores e atualize regularmente seu navegador e extensões para se manter seguro.
- Use um software antimalware eficaz. Quando se trata de proteção contra ataques de malware de diferentes vetores, é muito fácil cheirar em algum momento. Para evitar problemas, uma opção de proteção de backup é essencial. GridinSoft Anti-Malware pode oferecer excelente proteção, tanto reativo quanto proativo.
O aumento de extensões prejudiciais do Chrome é preocupante e enfatiza a importância de ser cauteloso ao navegar na web. Há preocupações de que esta campanha de malware possa se espalhar para a América do Norte e Europa.