Cuidado com extensões maliciosas

Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).

No final de abril, produtos da Kaspersky detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. Essa extensão maliciosa, segundo nossos especialistas, atacou quase 100 clientes brasileiros de vários bancos.

Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.

Extensão maliciosa na Chrome Store

“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Fonte: Kaspersky

Gmail passa a bloquear a ação de extensões maliciosas

GmailO Gmail, popular serviço de e-mail do Google, recebeu, nesta terça-feira, o suporte a mais uma solução de segurança. Chamado de Política de Segurança de Conteúdo (CSP, na sigla em inglês), o sistema lida diretamente com extensões maliciosas criadas para a plataforma de e-mail

“Há ótimos plugins para o Gmail”, escreveu Danesh Irani, engenheiro de software do Google, no blog oficial. “Mas infelizmente também existem algumas que se comportam mal, carregando código que interfere na sessão ou mesmo malware que compromete a segurança do serviço.”

O CSP serve como um complemento à criptografia ponta a ponta e ao HTTPS ativo por padrão, ambos adicionados recentemente. O que ele faz é, basicamente, impedir que esses códigos maliciosos funcionem. Conforme explica o TechCrunch, a ação é tomada com base em uma “lista negra” de comandos. Essa blacklist previne a execução e renderização de linhas vindas de sites não confiáveis, que identificados a partir de seu header HTTP.

As extensões mais populares já devem ter recebido atualizações para suportar o CSP, segundo o Google. Então, se você usa alguma e quer garantir um pouco mais de segurança para sua caixa de entrada, vale baixar os updates direto na Chrome Web Store.

Fonte: Info