Extensão do Chrome (Unblock Content) é um trojan bancário

Extensão maliciosa do Google Chrome, conhecida como Unblock Content, foi detectada pela Kaspersky Lab no final de abril.

Os produtos da Kaspersky foram capazes de detectar uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”). A extensão se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. A extensão maliciosa, segundo os especialistas russos, atacou aproximadamente 100 clientes brasileiros de diversas instituições bancárias.

Um trojan bancário é um malware capaz de captar as credenciais dos usuários, como logins, senhas e números de contas. O uso de trojan bancário entre os cibercriminosos é muito comum. No entanto, usar uma extensão maliciosa em um navegador não é a primeira escolha, sobretudo por questões técnicas, já que é mais eficaz criar as suas próprias extensões de adware (propaganda).

Segundo o analista sênior de segurança da Kaspersky Lab, Fábio Assolini:

Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store.”

Extensões maliciosas de navegadores costumam utilizar diferentes técnicas para barra a detecção das soluções de segurança. Em função do protocolo WebSocket, os autores do código malicioso conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, agindo como um servidor proxy quando a vítima visita sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário inserir suas credenciais, serão passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto e ardiloso ataque Man-in-the-Middle.

As soluções da Kaspersky Lab detectam e bloqueiam com êxito a extensão maliciosa como HEUR: Trojan-Banker.Script. Generic. Além disso, o recurso Safe Money, presente nas principais soluções de segurança da Kaspersky, sugere a abertura de sites em modo de segurança no momento em que o usuário insere seus dados pessoais em um sistema de pagamento ou qualquer sistema bancário online.

Para uma análise completas sobre o Unblock Content, clique aqui.

Compartilhar este artigo

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp

Posts Relacionados

Rolar para cima
Posso te ajudar?
AllEscort