No final de abril, produtos da Kaspersky detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. Essa extensão maliciosa, segundo nossos especialistas, atacou quase 100 clientes brasileiros de vários bancos.
Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).
Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.
O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.
“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.
“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.
O Kaspersky Plus detecta e bloqueia com êxito a extensão maliciosa como HEUR: Trojan-Banker.Script. Generic. Além disso, o recurso Safe Money nas principais soluções de segurança da Kaspersky sugere a abertura de sites em modo seguro no momento em que usuários inserem seus dados pessoais em um sistema de pagamento ou qualquer sistema bancário online.
Para mais informações sobre navegação online segura, visite o blog da Kaspersky ou saiba mais sobre o golpe aqui.