Extensão maliciosa do Google Chrome, conhecida como Unblock Content, foi detectada pela Kaspersky Lab no final de abril.
Os produtos da Kaspersky foram capazes de detectar uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”). A extensão se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. A extensão maliciosa, segundo os especialistas russos, atacou aproximadamente 100 clientes brasileiros de diversas instituições bancárias.
Um trojan bancário é um malware capaz de captar as credenciais dos usuários, como logins, senhas e números de contas. O uso de trojan bancário entre os cibercriminosos é muito comum. No entanto, usar uma extensão maliciosa em um navegador não é a primeira escolha, sobretudo por questões técnicas, já que é mais eficaz criar as suas próprias extensões de adware (propaganda).
Segundo o analista sênior de segurança da Kaspersky Lab, Fábio Assolini:
Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store.”
Extensões maliciosas de navegadores costumam utilizar diferentes técnicas para barra a detecção das soluções de segurança. Em função do protocolo WebSocket, os autores do código malicioso conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, agindo como um servidor proxy quando a vítima visita sites de bancos brasileiros.
O código malicioso copiou o botão “Fazer login” para que, quando o usuário inserir suas credenciais, serão passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto e ardiloso ataque Man-in-the-Middle.
As soluções da Kaspersky Lab detectam e bloqueiam com êxito a extensão maliciosa como HEUR: Trojan-Banker.Script. Generic. Além disso, o recurso Safe Money, presente nas principais soluções de segurança da Kaspersky, sugere a abertura de sites em modo de segurança no momento em que o usuário insere seus dados pessoais em um sistema de pagamento ou qualquer sistema bancário online.
Para uma análise completas sobre o Unblock Content, clique aqui.