Trojan manipula extensões dos navegadores para roubar criptomoedas

O Trojan Razy tem como alvo as extensões legítimas do navegador e está falsificando os resultados da pesquisa na tentativa de invadir as carteiras de criptomoedas e roubar moedas virtuais das vítimas.

De acordo com uma nova pesquisa publicada pela Kaspersky Lab, o malware, conhecido como Razy, é um Trojan que usa algumas das técnicas mais incomuns no registro quando infecta sistemas.

Detectado pela Kaspersky como Trojan.Win32.Razy.gen, o Razy é um arquivo executável que se espalha através de malvertising em sites e também é empacotado e distribuído em serviços de hospedagem de arquivos enquanto se disfarça de software legítimo.

O principal aspecto do malware é sua capacidade de roubar a criptomoeda. Razy se concentra em comprometer navegadores, incluindo o Google Chrome, o Mozilla Firefox e o Yandex. Existem vetores de infecção diferentes, dependendo do tipo de navegador encontrado em um sistema infectado.

O Razy é capaz de instalar extensões de navegador maliciosas, o que não é novidade. No entanto, o cavalo de Tróia também é capaz de infectar extensões legítimas já instaladas, desabilitando as verificações de integridade para extensões e atualizações automáticas para navegadores.

No caso do Google Chrome, o Razy edita o arquivo chrome.dll para desabilitar as verificações de integridade de extensão e renomeia esse arquivo para quebrar o caminho padrão. As chaves do registro são criadas para desativar as atualizações do navegador.

“Encontramos casos em que diferentes extensões do Chrome foram infectadas”, dizem os pesquisadores. “Uma extensão, em especial, vale a pena mencionar: o Chrome Media Router é um componente do serviço com o mesmo nome em navegadores baseados no Chromium. Ele está presente em todos os dispositivos em que o navegador Chrome está instalado, embora não seja exibido no lista de extensões instaladas. ”

Para comprometer o Firefox, uma extensão maliciosa chamada “Proteção do Firefox” está instalada. Quando se trata do Yandex, o Trojan também desativa as verificações de integridade, renomeia o arquivo browser.dll e cria chaves de registro para evitar atualizações do navegador. Uma extensão maliciosa chamada Yandex Protect é então baixada e instalada.

A maioria das funções do malware é servida através de um único script .js que permite ao malware procurar endereços de carteira criptografada, substituir esses endereços por outros controlados por agentes de ameaça, falsificar imagens e códigos QR que apontam para carteiras, bem como modificar o código. páginas web de trocas de criptomoedas.

O Razy também é capaz de falsificar os resultados de busca do Google e do Yandex em navegadores infectados, o que pode resultar em vítimas visitar inadvertidamente páginas da web maliciosas. O cavalo de tróia irá frequentemente interferir nos resultados relacionados à criptomoeda, na tentativa de induzir os usuários a entregar suas credenciais – por exemplo, promovendo novos serviços ou negociando vendas de moedas que exijam que o usuário faça o login se desejar participar.

Nos três casos de navegadores, vários scripts adicionais são baixados. Dois dos scripts, firebase-app.js e firebase-messaging.js, são coletores de estatísticas legítimos, enquanto outros dois, bgs.js e extab.js, são scripts maliciosos e ofuscados que modificam páginas da web e permitem que anúncios mal-intencionados sejam inseridos .

Fonte: ZDNet

Extensões populares do Firefox colocam segurança do usuário em risco

firefox_extO Mozilla Firefox é tido como um navegador bastante seguro. Esta característica ajuda a colocá-lo, obviamente, como um dos mais utilizados na atualidade. Além disso, ele conta com uma enorme quantidade de extensões, capazes de tornar sua utilização muito melhor ao mesmo tempo em que expandem sua gama de funcionalidades.

Infelizmente, justamente as extensões do browser podem colocar milhões de usuários em risco. Um problema com o isolamento dos recursos de diversos add-ons, no momento da execução, seria o responsável pelas brechas, segundo um grupo de pesquisadores.

Extensões maliciosas estariam se aproveitando de bugs e brechas de segurança em outras extensões (não maliciosas) instaladas pelo usuário. Vulnerabilidades encontradas em algumas das extensões mais populares do Firefox poderiam ser assim exploradas e reutilizadas pelas extensões maliciosas, sendo que a atuação destas poderia até mesmo passar despercebida.

Trocando em miúdos, o código malicioso “invocaria” recursos de outras extensões, não maliciosas porém contendo vulnerabilidades. Estas seriam então exploradas, utilizadas, para as tais finalidades criminosas. As falhas e brechas nelas existentes seriam utilizadas para finalidades escusas (por exemplo: redirecionar os usuários desavisados para sites de phishing).

Os pesquisadores realizaram testes com as 10 extensões mais populares do Firefox, e apenas a Adblock Plus se mostrou livre de falhas que permitam os ataques de reutilização de vulnerabilidades. Dentre as extensões problemáticas teríamos, por exemplo, NoScript, Firebug, Greasemonkey, DownThemAll e Video DownloadHelper.

Ainda segundo o grupo de pesquisadores, durante a conferência de segurança Black Hat, em Singapura, “extensões maliciosas que utilizam esta técnica seriam significantemente mais difíceis de serem detectadas através das atuais técnicas estáticas ou dinâmicas de análise“.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Código Fonte e ars technica

Loja do Chrome pode conter armadilhas

chrome_storeUsuários mais distraídos podem não notar, mas ao realizar uma busca na Chrome Web Store os primeiros resultados exibidos são aplicativos, alguns deles potencialmente maliciosos. Os apps apresentados podem enganar aqueles que buscam por extensões legítimas, uma vez que chamam mais atenção pelo seu posicionamento na parte superior da lista de resultados.

Pessoas mal-intencionadas podem facilmente enganar usuários desavisados e levá-los à instalação de aplicativos falsos em vez das extensões que estão procurando. O site PC World listou algumas informações que podem ser preciosas para evitar cair em uma dessas armadilhas relacionadas à loja online de aplicativos do Google para o Google Chrome.

Você sempre verá aplicativos em primeiro lugar, mesmo se eles forem falsos
Suponhamos que você quer instalar uma extensão do navegador. Você abre o menu do Chrome, clica em “Mais Ferramentas”, seleciona a opção “Extensões” e depois clica na opção “Obter mais extensões” na parte inferior da página.

Você então será redirecionado para a Chrome Web Store – ou então você pode pular este processo e entrar diretamente na loja. Independentemente do que digitar no campo de busca da loja, você sempre verá três aplicativos no topo dos resultados, antes de qualquer extensão. Apesar de algumas extensões serem mais relevantes e terem muito mais usuários do que qualquer um dos aplicativos, elas estarão sempre na quarta posição para baixo.

Opinião do seu micro seguro: dias desses observei algo que chamou a minha atenção na loja do Chrome: ao digitar “Avast” o primeiro resultado foi o de um aplicativo da mesma loja com esse nome, mas cuja origem é o desconhecido endereço: http://www.balibahu.com/avast-free-antivirus-2016/
O Virus Total não o identifica como malicioso, mas eu não arriscaria a instalação desse ao que tudo indica seja um falso aplicativo derivado do Avast.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e PCWorld

Trend Micro enfrenta problemas com o Chrome

trend_microA popularidade do Chrome o torna foco de interesse não apenas para os hackers mas também para as empresas de antivírus. Por ser modular e por permitir a integração simples de extensões, quase todas têm soluções para o proteger e aos dados dos usuários.

Mas os últimos tempos não têm sido fáceis para estas empresas, com vários problemas que têm surgido. Depois da AVG ter tido um problema de segurança, é agora a Trend Micro e o seu gerenciador de senhas a apresentarem vulnerabilidades.

Tal com ocorreu com a AVG esta falha de segurança está presente na extensão para o Chrome que a Trend Micro desenvolveu. O Trend Micro Password Manager foi avaliado por um pesquisador de segurança da Google, o mesmo que descobriu o problema da AVG, e detectou que esta extensão apresenta vulnerabilidade a ataques de qualquer hacker mal intencionado.

A função do Password Manager é proteger as senhas dos usuários, mas qualquer hacker mal intencionado pode criar uma página web que consegue executar um código arbitrário ou mesmo aplicações se valendo dessa falha.
O problema está na forma como o Password Manager foi implementado, recorrendo a APIs do browser que são ultrapassadas e que não devem ser usadas. Ao fazê-lo a extensão da Trend Micro quebra a segurança do Chrome e deixa de usar a Sandbox que o protege.

Para além deste grave problema, o pesquisador da Google descobriu ainda que esta extensão deixa acessíveis as senhas dos usuários, sendo também simples obter esta informação, que deveria proteger.

Apesar de ser um problema muito grave, apenas afeta os usuários das soluções de antivírus da Trend Micro. Esta extensão não está disponível na loja de extensões do Chrome.

A Trend Micro informa já ter resolvido este problema, com a ajuda de quem fez a sua descoberta, e os usuários desta solução de segurança devem atualizar seus programas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Microsoft prepara o Edge para receber extensões

edge

Não é segredo nenhum que a Microsoft quer tornar o Edge um navegador com as mesmas capacidades que os seus concorrentes. Para isso preparou-o para utilizar as mais recentes tecnologias web.

A sua primeira versão não contemplava ainda parte destes planos, tendo deixado de fora as extensões. Mas tudo pode estar prestes a mudar e as extensões vão chegar muito em breve.

Desde que se começou a falar do Edge, o novo browser da Microsoft, que se sabe que deverá ter extensões. A Microsoft deixou esta parte para 2016, tendo-se focado em tornar este navegador capaz de enfrentar a concorrência.

Mas agora e segundo foi descoberto, a Microsoft poderá estar se preparando para trazer para o Edge as extensões. Isso foi revelado numa página descoberta pelo usuário do Twitter WalkingCat.

Claro que depois de ter sido lançada publicamente, a Microsoft tratou de retirar a página do ar e atualmente a mesma responde quando acessada com uma mensagem de erro.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Extensões para navegador que podem ameaçar a sua privacidade

privacidadeOs navegadores modernos são verdadeiras mãos na roda para os usuários. Além de servirem de porta de entrada para a imensidão da Internet, atualmente eles trazem consigo a capacidade de rodar extensões que ajudam, e muito, a descomplicar atividades diárias e a aumentar a produtividade dos usuários.

Embora algumas delas, como ferramentas de favoritos, bloqueadores de anúncios e até mesmo tradutores instantâneos realmente cumpram com o que prometem e tragam benefícios para o público em geral, algumas têm uma forma de atuação perigosa. Inocentes ao olhar dos incautos, esses pequenos aplicativos podem agir na surdina coletando dados pessoais e informações confidenciais enquanto navegamos inocentemente na Internet.

O mais recente escândalo nesse sentido foi o da extensão Hola Unblocker, que prometia mascarar a localidade de acesso do usuário através de uma rede privada virtual gratuita. No final das contas, o serviço vendia as conexões milhares de seus usuários para realização de ataques DDoS.

Dito isso, é flagrante que precisamos estar cada vez mais atentos ao que instalamos em nossas máquinas, sobretudo nos navegadores, local onde despejamos uma quantidade absurda de informações críticas diariamente.

Entendendo o tamanho do problema

Um estudo realizado no ano passado pelos especialistas em segurança Neha Chachra, Christopher Kruegel, Chris Grier, Giovanni Vigna e Vern Paxson analisou 48 mil extensões disponíveis na Chrome Store, a loja virtual para o navegador web do Google. No fim das contas, os pesquisadores concluíram que mais de 4.700 extensões eram “suspeitas” e 130 eram, de fato, “maliciosas”. Apesar do estudo não dar nome aos bois, ele relata que uma dessas extensões está instalada no computador de mais de 5,5 milhões de pessoas.

A revelação da pesquisa deixou toda a comunidade de segurança em polvorosa, com várias companhias especializadas em segurança digital atônitas. À época, a organização Tripwire Vulnerability and Exposure Research explicou o porquê dessas extensões maliciosas estarem se espalhando por aí.

“O problema das extensões do Chrome é que elas são como a maioria dos apps para Android. Elas pedem por permissões excessivas, querendo ter acesso até mesmo a dados que não precisariam para funcionar corretamente, e deixam o usuário sem entender o que estão fazendo”, disse Tyler Reguly, membro da organização de segurança. “Em ambos os casos, tanto no Chrome quanto no Android, toda a culpa resvala no Google”, conclui.

Para você ter uma ideia de como extensões inocentes podem estar atuando como agente duplo, fornecendo dados a cibercriminosos e hackers maliciosos, eis aqui quatro exemplos.

1. Marauders Map

A notícia de que uma extensão do Chrome detalhava a localização dos usuários do Facebook Messenger deixou muita gente curiosa no primeiro semestre deste ano. Usando o Marauders Map, o usuário consegue rastrear todas as localidades em que seus amigos estiveram, bastando que eles tenham lhe enviado uma mensagem com a opção de compartilhamento de localização ativada desses lugares.

Até aí, nada de mais. Afinal de contas, o próprio Facebook já deixa a opção de compartilhamento de localização ativada por padrão em seus apps para Android e iOS. O problema é a facilidade com que a coleta desses dados pode ser feita. A extensão foi desenvolvida por um estudante de Cambridge, Massachussetts (EUA), e não tem nenhum truque mirabolante em seu código fonte — pelo contrário. Segundo Aran Khanna, idealizador da ferramenta, é possível recuperar o histórico de locais de cada pessoa desde 2013 até agora com relativa facilidade. E é aí que você pode ter dores de cabeça.

Em mãos erradas, esse histórico pode ajudar indivíduos maliciosos a saberem seus hábitos com base em seu histórico de localização. Eles podem, por exemplo, saber quando você deixa sua casa para ir ao trabalho, quando está de volta, onde costuma almoçar e traçar seu perfil com base nos locais que você frequenta. Não é preciso dizer que é extremamente importante que você mantenha esse tipo de informação o mais privado e seguro possível, não é mesmo?

2. Hover Zoom

Com a premissa de tornar a busca por imagens mais rápida ao consultar várias fontes ao mesmo tempo, o Hover Zoom tinha tudo para ser uma excelente extensão, não fosse pelo fato de monitorar todo o comportamento do usuário online.

Como toda boa ideia, tudo começou de maneira honesta, com a extensão realizando buscas por imagens em serviços como o Google Imagens, Amazon, Reddit e tantos outros. O “boom” de popularidade, no entanto, passou a atrair diversas companhias cuja principal atividade é injetar adwares e malwares em programas “inocentes”.

A pressão foi tamanha que os desenvolvedores acabaram cedendo e vendE aí você deve se perguntar: “como eles fazem isso e não são punidos?”. O problema é que eles não fazem isso na surdina e está tudo descrito nos termos de uso, que ninguém lê e acaba aceitando, abrindo mão da privacidade e segurança.

O resultado de toda essa brincadeira: atualmente, mais de 1,1 milhão de incautos utilizam o Hover Zoom acreditando que não há problema algum com ele.

3. BBC News Reader e Autocopy

Engana-se quem pensa que só há extensões maliciosas para o Google Chrome — o Mozilla Firefox também tem sua fatia de extensões podres. Talvez a mais conhecida delas seja a BBC News Reader, que muitas vezes passa despercebida por ter seu nome associado a um grande veículo de comunicação.

O problema é que nem de longe essa extensão tem a ver com a emissora britânica e em conjunto com o Autocopy — que copia todo o conteúdo selecionado pelo ponteiro do mouse para a área de transferência —, forma a dobradinha mais perigosa do navegador da raposa.

Ao contrário de apps oficiais, que dão ouvidos às reclamações e queixas de seus usuários, chegando até mesmo a mudar seu propósito, estes aqui fazem ouvido de mercador e seguem monitorando, coletando e vendendo todos os dados e informações sensíveis de cada usuário que os tem instalados.

4. Hola Unblocker

E é claro que esta lista tem que ser fechada com a extensão que pesquisadores de segurança descrevem como “a plataforma ideal para executar ataques cibernéticos localizados”. A outrora popular e aclamada extensão fez por merecer e atualmente figura em inúmeras listas de “extensões que devem ser evitadas” mundo afora. ndo tudo a uma dessas empresas. De lá para cá, vários relatos, pesquisas e estudos já denunciaram o “mal comportamento” da extensão, que captura dados inseridos em formulários online e os vende para outras empresas que procuram esse tipo de informação.

Especialistas e entusiastas de segurança começaram a olhar para a Hola com mais cautela quando o dono de um fórum percebeu que usuários da extensão estavam se “unindo” para lançar múltiplos ataques ao seu site. O problema é que essa união estava sendo promovida sem o conhecimento e consentimento de ninguém, numa poderosa botnet que atacava alvos bem específicos.

No fim das contas, os próprios desenvolvedores da extensão admitiram estar vendendo a largura de banda dos usuários da versão gratuita de extensão para outras companhias como uma forma de cobrir seus custos operacionais. Ou seja, cada usuário estava servindo como um ponto de acesso para hackers e cibercriminosos, que poderiam utilizar sua conexão para realizar ataques das mais variadas naturezas.

Depois de tudo isso, o fundador da Hola veio a público admitir que errou e prometeu “corrigir todos os erros o mais rápido possível”. Difícil é acreditar que ainda tem gente que utiliza a extensão e a classifica com cinco estrelas na loja virtual do Google.
Como evitar a instalação de extensões maliciosas

É sempre bom dizer que um usuário bem informado é mais eficaz do que qualquer ferramenta de segurança. Portanto, sempre desconfie de extensões que prometem demais e, sobretudo, que oferecem gratuitamente serviços que normalmente são pagos — é o caso, por exemplo, do Hola Unblocker.

Se mesmo com toda essa cautela você acredita que instalou ou tem instalada uma extensão maliciosa no seu Google Chrome, a dica é o Shield for Chrome. Essa extensão (sim, é irônico) vasculha todas as extensões que você tem instaladas e monta um relatório apontando quais delas são maliciosas, perigosas e quais estão OK. A partir disso, você pode remover a pequena praga sem dó nem piedade.

Além disso, ela mostra quais permissões você concedeu a cada extensão e a possibilidade de monitorar futuras instalações para que você não acabe entulhando o navegador com bobagem e colocando sua privacidade em risco. Segundo os desenvolvedores, em breve também estará disponível uma função que avisará quando cada plugin começar a se comportar de maneira suspeita.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Firefox terá compatibilidade com extensões do Chrome

FirefoxA Mozilla anunciou nos últimos dias que o Firefox ganhará em breve suporte a algumas extensões feitas para outros navegadores, como Chrome e Opera. Isso graças a uma nova API, chamada WebExtensions, semelhante a que a maioria dos concorrentes do browser usam atualmente.

A novidade vai facilitar a criação de conteúdos multiplataformas. A desenvolvedora explicou que mudanças foram feitas para aproveitar novas tecnologias, como Electrolysis e Servo, além de proteger usuários de spyware/adware e encurtar o tempo necessário para revisar extensões.
A empresa já havia anunciado a nova forma de certificação de extensões como parte dessa reformulação.

A Mozilla confirma que uma versão mais rápida será lançada em breve, com a tecnologia Electrolysis, que terá suporte para todas as novas extensões. Além disso, será compatível a API WebExtensions. A ideia é estimular desenvolvedores a criar plugins que possam funcionar em vários browsers.

“Para nossa comunidade, isso trará benefícios como esta questão de multiplataformas, mas também precisará que muita coisa seja redesenhada. Estamos fazendo um grande investimento e vamos trabalhar com a comunidade para que esta transição seja feita da melhor forma possível”, afirma a Mozilla em comunicado.

Entretanto, os desenvolvedores precisarão mudar suas extensões para que elas continuem funcionando. A começar pela revalidação de segurança, que começa no Firefox 41, com data de lançamento prevista para 22 de setembro. A expectativa é que a nova API já entre em funcionamento no Firefox 43, em dezembro.

Com isso, a tendência é que as extensões que não se adequem aos novos formatos ganhem uma permissão para continuar funcionando por mais seis meses até que as modificações sejam feitas. Segundo a própria Mozilla, o trabalho poderá ser duro, mas “o resultado final vai valer a pena”.

Para os usuários, as notícias são boas. Afinal, eles terão um browser mais rápido e seguro, além de uma biblioteca de extensões com mais qualidade, com muitos dos apps da Chrome Web Store.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Tecthtudo e Mozilla blog