Ícones de apps famosos viram armadilha em nova onda de malware no Firefox

Uma nova campanha maliciosa vem afetando usuários do Firefox. Batizada de GhostPoster, a operação usa logos para fingir ser 17 extensões legítimas do navegador e disseminar um malware que rastreia as vítimas e comete fraudes.

• Seus dados vazam pelo som e energia? Entenda os ataques de canal lateral
• Saiba qual é a senha mais usada pela Geração Z e por que ela preocupa

Segundo a análise da Koi Security, as extensões foram baixadas mais de 50 mil vezes antes de serem desativadas, sendo usadas também por criminosos para sequestrar links de afiliados e injetar código de rastreamento.

Na prática, os hackers utilizam logos de VPNs, bloqueadores de anúncio, versões falsas do Google Tradutor e ferramentas de captura de tela para implementar o malware nos dispositivos das vítimas. O pacote malicioso ainda inclui recursos de “modo escuro” e download gratuito de arquivos MP3, que ajudam a propagar um payload que rastreia toda a atividade do usuário, remove proteções de segurança e executa um backdoor de acesso remoto.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Cadeia de ataques

Pesquisadores apontam que o processo de infecção começa quando o usuário instala alguma das 17 extensões comprometidas. Assim que o download é feito, o código malicioso analisa o sistema em busca de um marcador que contenha o sinal "===", extraindo dessa maneira um código JavaScript que opera como um loader e se conecta a um servidor externo.

Logo que passa a operar de maneira ativa, o malware começa a impulsionar uma série de ações maliciosas no navegador para aplicar golpes e monitorar o comportamento do usuário, como a interceptação de links de afiliados em sites de e-commerce, por exemplo, roubando comissões dos afiliados legítimos.

O software comprometido também faz uma injeção de rastreamento do Google Analytics para criar perfis falsos, remove recursos de segurança, implementa URLs de servidores controlados pelos hackers para emplacar fraudes com anúncios e cliques, e consegue até mesmo enganar CAPTCHAs que detectam bots.

Furtivo e paciente

Um ponto de atenção detectado pelos especialistas é que o malware age de maneira furtiva e paciente, promovendo ataques espaçados para evitar ser detectado na rede.

O loader, por exemplo, já vem pré-configurado para esperar cerca de 48 horas entre cada tentativa de busca antes de voltar à ativa. Ele também só procura o payload apenas 10% das vezes em que “acorda”, mais uma tática para permanecer invisível no sistema.

Mas as medidas furtivas não param por aí, já que o software malicioso incorpora atrasos em tempo real, impedindo que ele seja ativado em mais de seis dias após sua instalação. Dessa forma, as camadas de evasão funcionam como uma proteção extra para evitar possíveis identificações.

Leia também:

• Malware em PDF é armadilha para roubar dados de usuários de iPhone e Android
• Coreia do Norte é responsável por 60% de todo roubo de criptomoedas no mundo
• Campanha de phishing usa código de autenticação Microsoft 365 para roubar contas

Fonte: Koi Security