Criminosos copiam site de gerenciador de senhas para roubar dados

Ataque se aproveitava de erro de digitação para direcionar usuário a site falso do Bitwarden. Malware instalado coletava informações do navegador e do sistema.

Usar um gerenciador de senhas é uma medida altamente recomendada para proteger seus cadastros na internet. Isso não quer dizer, porém, que você pode relaxar. Criminosos aproveitaram um erro de digitação para direcionar usuários a uma cópia do site do Bitwarden e, então, roubar seus dados.

O ataque foi descoberto por pesquisadores de segurança da Malwarebytes, que o batizaram como ZenRAT. A ação imitava o site do Bitwarden e focava em usuários de Windows. Ao entrar na página falsa e tentar baixar a versão de desktop do gerenciador de senhas, o usuário fazia, na verdade, o download de um malware para roubar dados.

Cofre do Bitwarden na web (Imagem: Reprodução/Bitwarden)

Segundo os pesquisadores, o ZenRAT coleta dados do navegador e credenciais, além de detalhes sobre a máquina infectada. Assim, eles criavam uma impressão digital do sistema comprometido e podiam acessar contas como um usuário legítimo.

Erro de digitação levava a site falso

Os atacantes não precisavam redirecionar o tráfego da máquina do usuário para levá-lo à página falsa do Bitwarden. Em vez disso, eles aproveitavam um descuido: se a pessoa errasse e digitasse “bitwariden”, com um “i” incorreto entre o “r” e o “d”, caía no site impostor.

Esse tipo de ataque não chega a ser incomum. Ele tem até um termo específico: “typosquatting”.

A estratégia pode ser se aproveitar de erros ocasionais do usuário, seja por uma questão ortográfica (usar “z” no lugar de “s”, por exemplo) quanto a proximidade no teclado (uma URL com “recnoblog” no lugar de “tecnoblog”, pois “r” e “t” estão próximos).

Outro cenário é usar as URLs em campanhas de phishing, induzindo a vítima a clicar em um link supostamente legítimo, mas com uma pequena diferença nas letras.

Além de erros de digitação, criminosos usam diferentes terminações de domínio (.com no lugar de .net, por exemplo) ou formas diferentes de escrever as mesmas palavras (“quatorze” ou “catorze”), entre outros métodos.

Os golpistas podem usar o endereço parecido para criar um site idêntico ao original, simular pesquisas ou oferecer brindes, tudo visando roubar dados.

Também é possível levar a uma página cheia de propagandas e pop-ups, como forma de ganhar dinheiro com esse tráfego acidental.

Para se proteger, preste muita atenção no que você digita e nos links em que você clica. Salvar sites nos favoritos é outra forma de evitar este tipo de problema.

Jogar o nome do site no Google pode ajudar, mas também é preciso ter cuidado. Em janeiro de 2023, uma campanha de roubo de informações comprou anúncios no Google para direcionar usuários a um site falso. Naquela ocasião, o alvo também era o Bitwarden.

Com informações: Bleeping Computer, Kaspersky