Extensão do Chrome (Unblock Content) é um trojan bancário

|

Extensão maliciosa do Google Chrome, conhecida como Unblock Content, foi detectada pela Kaspersky Lab no final de abril.

Os produtos da Kaspersky foram capazes de detectar uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”). A extensão se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. A extensão maliciosa, segundo os especialistas russos, atacou aproximadamente 100 clientes brasileiros de diversas instituições bancárias.

Um trojan bancário é um malware capaz de captar as credenciais dos usuários, como logins, senhas e números de contas. O uso de trojan bancário entre os cibercriminosos é muito comum. No entanto, usar uma extensão maliciosa em um navegador não é a primeira escolha, sobretudo por questões técnicas, já que é mais eficaz criar as suas próprias extensões de adware (propaganda).

Segundo o analista sênior de segurança da Kaspersky Lab, Fábio Assolini:

Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store.”

Extensões maliciosas de navegadores costumam utilizar diferentes técnicas para barra a detecção das soluções de segurança. Em função do protocolo WebSocket, os autores do código malicioso conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, agindo como um servidor proxy quando a vítima visita sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário inserir suas credenciais, serão passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto e ardiloso ataque Man-in-the-Middle.

As soluções da Kaspersky Lab detectam e bloqueiam com êxito a extensão maliciosa como HEUR: Trojan-Banker.Script. Generic. Além disso, o recurso Safe Money, presente nas principais soluções de segurança da Kaspersky, sugere a abertura de sites em modo de segurança no momento em que o usuário insere seus dados pessoais em um sistema de pagamento ou qualquer sistema bancário online.

Para uma análise completas sobre o Unblock Content, clique aqui.

Últimas postagens

Extradição Julian Assange
Extradição de Assange exige garantias contra a pena de morte

Um tribunal do Reino Unido decidiu que Julian Assange não pode ser enviado para os Estados Unidos so…

botnet iot
Descoberta Botnet de 40.000 dispositivos IoT

Uma botnet de 40.000 dispositivos IoT e roteadores em fim de vida foi descoberta por pesquisadores d…

O que são controles de acesso lógico?

Controles de acesso lógico se referem a métodos ou mecanismos eletrônicos implementados para restrin…