Campanha engana usuários com alerta falso de extensão no navegador

Uma nova campanha de malware está usando alertas de extensão no navegador para enganar os usuários. Segundo especialistas da Point Wild, os ataques fazem parte da operação ClickFix, que usa engenharia social para fazer com que as pessoas instalem manualmente um software malicioso chamado DarkGate.

• Extensão do Chrome "Em Destaque" roubam conversas de usuários com ChatGPT e mais
• Novo vírus do Telegram vem com defeito que ajuda vítimas a se salvarem

Na prática, o alerta comprometido simula um falso sumiço de uma extensão online do Word, solicitando ao usuário para que ele solucione o problema clicando em um botão de “como corrigir”. Dessa forma, o aviso promete que a pessoa conseguirá visualizar o documento em questão.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Caso o usuário esteja com pressa ou não esteja atento para os perigos da web, é muito provável que ele apenas siga as instruções, abrindo uma porta para que o DarkGate faça suas ações maliciosas. De acordo com os pesquisadores, assim que a pessoa clica no botão, o código usa JavaScript para inserir um comando do PowerShell secretamente na área de transferência do navegador.

Dessa forma, os hackers conseguem guiar o usuário para concretizar o ataque, solicitando uma série de comandos para fingir que é uma operação legítima de instalação da extensão no browser. Para piorar, como é a própria vítima que inicia a ação, o sistema de segurança pode entender o comportamento como algo normal, sem acender um alerta vermelho para possíveis ameaças.

Controle remoto sem que o usuário perceba

Uma vez que o DarkGate se acomoda no sistema, ele consegue baixar no dispositivo um arquivo HTA, que fica salvo na pasta local. Com isso, os hackers também conseguem se camuflar por baixo de diversas camadas de scripts codificados em base64, um método usado para não serem detectados e, desse jeito, continuar as ações maliciosas no sigilo.

Assim que o malware está totalmente funcional, ele consegue estabelecer uma persistência no sistema, ficando ativado mesmo que o computador seja reiniciado. Ele também coleta informações sensíveis do usuário, enviando-as para os servidores dos criminosos.

O grande trunfo do DarkGate é fazer tudo isso a partir de uma ação da própria vítima, transformando-a na instaladora do malware com engenharia social. Com a falsa sensação de legitimidade, a pessoa nem ao mesmo percebe que está caindo em uma armadilha, uma ameaça que até mesmo um antivírus pode ter dificuldade para identificar.

Leia também:

• Extensões maliciosas do Visual Studio Code escondem trojan em imagens PNG falsas
• App legítimo da Play Store é nova arma dos criminosos para limpar sua conta
• Trojan manipula posicionamento no Chrome simulando atividade real de usuários

Fonte: Hack Read