Cuidado com as extensões que você instala no Chrome: especialistas de cibersegurança da Huntress descobriram que criminosos estão usando uma falsa extensão que bloqueia anúncios no navegador do Google para roubar dados dos usuários.
- Falha crítica comum deixa hackers invadirem fones Bluetooth e ouvir conversas
- Spyware Predator monitora usos da ferramenta pelo usuário, diz análise
Denominada KongTuke, a campanha distribui um trojan de acesso remoto chamado ModeloRAT, que chega aos dispositivos camuflado pela extensão. De acordo com os especialistas, o ataque tem um modus operandi similar ao ClickFix, técnica maliciosa que engana as vítimas para que elas mesmas instalem um software comprometido em seus computadores.
Também foi detectado que o KongTuke é um nome dado a um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-los para um site de payloads que infecta os sistemas visados.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Como o ataque se concretiza
Tudo começa quando o usuário busca uma ferramenta para bloquear anúncios na loja do Chrome, sendo impactado por um anúncio malicioso que o direciona para a extensão “NexShield – Advanced Web Guardian".
Apresentando-se como um recurso que age como um “escudo de privacidade definitivo”, a extensão diz proteger o navegador contra anúncios, rastreadores, conteúdos intrusivos e até mesmo malwares. A ferramenta foi baixada, pelo menos, 5 mil vezes até ser desativada.
Segundo a análise da Huntress, a NexShield é um clone do uBlock Origin Lite, uma extensão legítima que bloqueia anúncios nos principais navegadores disponíveis atualmente. A falsa ferramenta aproveita essa legitimidade para exibir um aviso de segurança falso, alegando que o navegador “parou de forma anormal”.
Depois, o alerta pede ao usuário para que ele execute uma verificação que promete corrigir uma possível ameaça de segurança. A operação instrui o alvo a abrir uma caixa de “Executar” do Windows, colando ali um comando exibido na tela.
Assim que a ação é feita, o navegador trava totalmente, causando uma falha de negação de serviço (DoS) que cria várias portas de conexão por meio de um loop infinito. Como consequência, há um consumo excessivo de memória do dispositivo, o que provoca lentidão e um eventual travamento do browser.
Após a infecção
Uma vez que o malware está dentro do sistema, a vítima passa a ser monitorada pelos hackers graças a um canal de transmissão criado entre o navegador e o servidor comprometido. Além disso, a extensão falsa usa um mecanismo de camuflagem que só permite que o software malicioso seja acionado 60 minutos depois da infecção. O payload age a cada 10 minutos depois disso.
O resultado dessa operação é um “ciclo vicioso” que ativa o falso alerta toda vez que o usuário força o fechamento do navegador, reiniciando-o depois que ele para de responder, uma ação que ocorre devido ao ataque do malware.
Segundo os pesquisadores, o KongTuke pode ter como grande foco ambientes corporativos, usando dispositivos de funcionários para roubar informações sigilosas com base em engenharia social.
Leia também:
- Hackers exploram falha em plugin do Wordpress para acessar sites vulneráveis
- Hackers atacam app de alimentação em busca de dados para extorsão
- Microsoft Copilot entra na mira de ciberataques com roubo de dados
Leia a matéria no Canaltech.