NetWorld - Blog

No final de abril, a Kaspersky detectou uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos (Hackers).

Essa extensão maliciosa, segundo os especialistas da empresa, atacou quase 100 clientes brasileiros de vários bancos.

Hackers brasileiros criam extensão para o Google Chrome que rouba dados bancários

Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).

Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

Extensão para o Google Chrome criada pelos criminosos:

As soluções de segurança da Kaspersky detectam a extensão para o Google Chrome criada pelos criminosos como Trojan-Banker.Script.Generic.