Extensão do Chrome era utilizada para Golpes

Uma extensão do Chrome usada por cibercriminosos brasileiros foi removida pelo Google da loja de aplicativos do navegador. Ela tinha como alvo usuários corporativos, com o objetivo de roubar credenciais bancárias.

Os hackers usavam redes sociais para identificar as pessoas dentro das empresas responsáveis por transações financeiras. Então eles ligavam para as vítimas e pediam a atualização no módulo de segurança do banco, sem a qual o acesso à conta seria bloqueado.

As vítimas instalavam uma extensão do Chrome chamada Interface Online (veja abaixo), da Internet Security Online.

Renato Marinho, diretor de pesquisa da Morphus Labs e membro do SANS Internet Storm Center, divulgou o golpe. Ele disse que os hackers estão concentrados em apenas alguns alvos corporativos e o malware tem relativamente poucas detecções no VirusTotal.

Fabio Assolini, analista sênior de malware da Kaspersky no Brasil, disse que o ataque foi encontrado em 8 de agosto e os servidores de comando e controle foram identificados e bloqueados pelos produtos da empresa. Mas o servidor C2 ainda está funcionando, afirma Marinho. Ele confirmou que este não era um ataque generalizado e que outros atacantes usaram extensões maliciosas em outros ataques no Brasil, incluindo alguns que visam boletos.

O telefonema tinha instruções sobre como atualizar o suposto módulo de segurança. A vítima devia acessar um endereço web e, ao clicar em “Instalar”, era redirecionada para a página da extensão na Chrome Store. O código malicioso capturava os dados inseridos na página do banco.

Fonte: Kaspersky

Descoberta falha grave de segurança no Chrome

Uma falha grave foi encontrada no Google Chrome, especificamente na versão 59. Segundo o pesquisador @lupus_cyber, o navegador possui uma vulnerabilidade de zero dia que permite a execução de um código remoto. Dessa maneira, um invasor poderia executar um código de comando no sistema para, por exemplo, monitorar as atividades do computador — e ainda com a possibilidade de roubar dados sensíveis do usuário, como senhas de email, redes sociais e internet banking.

 

Segundo o pesquisador, o exploit está na versão Google Chrome 59.0.3071.86 e 59.0.3071.115. Além disso, os parâmetros do exploit são: Bypasses ASLR, Bypasses DEP / W ^ X e Bypasses EMET Version 5.52± .
A google ainda não se manifestou sobre essa falha de segurança.
Ficamos na expectativa da liberação de uma correção em caráter emergencial.

Fonte: Tecmundo

Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Chrome pode lançar bloqueador de anúncios nativo

O navegador Chrome pode em breve ganhar um recurso nativo para filtrar anúncios indesejáveis, tanto na versão mobile quanto na desktop. Esse tipo de ferramenta vem ganhando popularidade a cada ano, e a Google quer melhorar a experiência de navegação para os usuários, além de, principalmente, manter o controle no setor de publicidade online.

Ad-blockers cresceram 26% nas máquinas de mesa dos Estados Unidos nos últimos anos

O ad-blocker teria o suporte da comunidade Coalition for Better Ads, grupo do qual também fazem parte Facebook, Reuters, AppNexus e outras grandes da seara midiática. Em março, as empresas lançaram uma espécie de “manual” de bom uso, que repudia popups, vídeos automáticos com som ligado e veiculação com temporizadores de contagem regressiva.

Segundo o The Wall Street Journal, a Gigante das Buscas estaria até mesmo pensando em bloquear toda comunicação de marketing oriunda de sites que estampam mensagens comerciais consideradas ofensivas, em vez da promoção individual. Ou seja, os donos das páginas teriam que monitorar o conteúdo de seus domínios para continuar ativos no browser.
Jogada defensiva

A Google estaria especialmente de olho no crescimento do poder dos pequenos grupos que vêm lucrando com o aumento de 26% de ad-blocker nas máquinas de mesa dos Estados Unidos nas últimas temporadas. As terceirizadas cobram taxas em troca do “passe” de conteúdo e a companhia de Mountain View já injeta verba considerável no programa “Acceptable Ads”, da Eyeo GmbH, desenvolvedora de um dos softwares mais famosos do gênero, o Adblock Plus.

Chrome está em quase 50% dos desktops nos EUA

O aumento da concorrência entre os mediadores de publicidade online preocupa a Gigante das Buscas, que lucrou nada menos do que US$ 26 bilhões no setor em 2016. Ter outras empresas monitorando o fluxo significa essa quantia cada vez mais diluída e preocupa os parceiros que até então tinham “acesso total” no navegador.

Como o Chrome está em quase 50% dos desktops no território dos Estados Unidos, ter uma avaliação nativa é também uma jogada defensiva. Contudo, por enquanto ninguém confirmou oficialmente essas mudanças, que podem até mesmo ser arquivadas.

Fonte: Tecmundo

Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech

Chrome já conta com suporte ao WebGL 2.0 e melhora ainda mais

A Google anunciou de forma bem tímida que o seu navegador para plataformas desktop, o Chrome, já está suportando o WebGL 2.0 como ferramenta de processamento de gráficos 3D por padrão. Isso quer dizer que jogos e outras aplicações mais avançadas poderão ser executadas no browser sem problemas e com mais recursos.

De acordo com a Google, essa nova inclusão possibilita que desenvolvedores entreguem gráficos mais detalhados, com novos tipos de texturas e sombras. Além disso, o consumo de memória de vídeo será minimizado de forma significativa, torando o desempenho do computador e do navegador mais interessantes.

A nova API ainda consegue fazer com que o WebGL do Chrome esteja em pé de igualdade com o OpenGL ES 3.0, muito utilizado em plataformas mobile para processamento de gráficos tridimensionais. Isso é importante porque, agora, desenvolvedores, podem portar seus games do Android — por exemplo — para a web sem perdas na qualidade gráfica.

Tarde?

Vale destacar ainda que o Mozilla Firefox e o Opera já contavam com o WebGL 2.0 há algum tempo, mas como o Chrome é o browser mais popular (com algo em torno de 58,2% do mercado segundo dados da NetMarketShare de fevereiro), isso só estará impactando a internet de forma significativa agora.

O WebGL 2.0 já está disponível na versão 56 do Google Chrome, além de todas as mais recentes, incluindo os canais de distribuição beta. Isso, entretanto, vale apenas para o desktop. No Android, o recurso deve chegar “em breve”.

Fonte: Tecmundo

Cuidado com esse malware disfarçado de “pack de fontes”

alert_fakeOs crackers utilizam diferentes métodos para tentar levar os internautas a realizar o download e instalação de malwares em seus sistemas. Recentemente foi descoberto um novo que pode passar de forma despercebida, mesmo aos mais atentos.

A empresa de segurança NeoSmart Technologies revelou ter descoberto um novo método utilizado em sites maliciosos, tendo como alvo os usuários do Google Chrome. Os criminosos utilizam um falso site malicioso para apresentarem uma notificação sobre a falta de fontes no sistema operacional, apresentando um site com seus elementos desconfigurados. Para resolver o problema, os usuários são aconselhados a baixarem um “Pack de fontes”, que nada mais é que um malware disfarçado.

O que se destaca neste novo método de ataque é o formato como a mensagem é apresentada, que além de possuir uma interface similar aquela que se encontra no Google Chrome, apresenta também um alerta aparentemente inofensivo.

O arquivo baixado acaba não sendo filtrado pelo sistema de proteção do Google Chrome, mas é apresentado um alerta para o fato do mesmo não ser descarregado com regularidade. Além disso, a grande maioria dos sistemas de proteção/antivírus ainda não detecta este arquivo como uma ameaça.

Como sempre, é importante ter atenção redobrada em qualquer site desconhecido que lhe venha sugera o download ou instalação de algo em seu sistema. Regra geral, o conteúdo nada mais é que malware.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech