Se o seu navegador Chrome continuar travando, é possível que uma extensão maliciosa tenha conseguido interferir nele. Atualmente, uma extensão falsa que afirma bloquear anúncios está se espalhando pela Internet. Uma vez instalado, ele fará de tudo para travar o Chrome. Esta é a primeira fase de um ataque cibernético que resulta na instalação de um vírus formidável.
Uma nova campanha maliciosa tem como alvo usuários do Google Chrome e Microsoft Edge. Descoberto por pesquisadores da empresa de segurança Huntress, o ataque é orquestrado por um cibercriminoso que se autodenomina KongTuke. Ativo pelo menos desde o início do ano passado, o hacker se especializou em ataques cada vez mais sofisticados do tipo “ClickFix”. Este tipo de ataque é baseado principalmente em manipulação de usuários da Internete não na exploração de uma vulnerabilidade. Os cibercriminosos enganam suas vítimas para que elas próprias tomem ações arriscadas, permitindo-lhes contornar as proteções e mecanismos de segurança usuais. Estas campanhas são cada vez mais frequentes e os casos recentes estão a aumentar, especialmente em computadores Windows.
Leia também: Desinstale rapidamente essas 17 extensões do Chrome, Edge e Firefox, são cookies chineses
Uma extensão falsa para bloquear anúncios
Neste caso, a nova operação do KongTuke é baseada em uma extensão de navegador falsaintitulado NexShield. Isso se baseia quase inteiramente no código de uma extensão legítima do Chrome/Edge, ou seja, uBlock Origin Lite. É uma versão mais leve do bloqueador de conteúdo uBlock Origin, que conta com mais de 14 milhões de usuários. Isso permite bloquear anúncios e rastreadores de anúncios, mas possui menos recursos avançados do que a versão completa.
Para atrair os internautas, o cibercriminoso apresentou o NexShield como uma solução eficaz para bloquear anúncios, sem afetar o desempenho do navegador e do computador. O hacker não hesitou em se passar por criador do uBlock, exibindo seu nome, ou seja, Raymond Hill, na página da extensão na Chrome Web Store. Esta “tática explora a confiança que os utilizadores depositam em projetos de código aberto reconhecidos”, sublinha a investigação da Huntress.
Um navegador que trava
Depois de instalada, a extensão fará de tudo para travar o navegador da vítima. A extensão de fato abre milhares de canais de comunicação com o navegador, sem nunca fechá-los, até saturar a memória e bloquear completamente o Chrome/Edge. Cada canal consome um pouco de RAM. Na verdade, o navegador rapidamente se torna inutilizável. As guias congelam completamente. Não é mais possível clicar em nada. De costas para a parede, o internauta vai até o gerenciador de tarefas para reiniciar o navegador. A primeira fase do ataque cibernético depende, portanto, inteiramente falha do navegador. É por isso que os pesquisadores da Huntress o chamam de ataque “CrashFix”, que é uma variação da tática tradicional “ClickFix”.
Quando a vítima reabre o navegador, o NexShield exibe uma janela pop-up enganosa explicando que um problema foi detectado e que o sistema precisa ser verificado para encontrar a causa raiz da falha. Nesta janela fictícia, um botão denominado “Reparar” aparece. Se o internauta clicar nele, uma nova página será aberta com um falso aviso de segurançaapresentando a situação como muito urgente. O usuário é então convidado a realizar uma manipulação simples para corrigir a situação. Se o usuário fechar a janela pop-up e se recusar a seguir as instruções, o navegador irá travar novamente em dez minutos. Na verdade, a extensão garante que o Chrome trave até que a vítima obedeça. A única solução para interromper o processo é remover a extensão.
Leia também: Alerta no Chrome, Edge e Firefox – um império de espionagem chinês foi descoberto
O vírus ModeloRAT
A página pede ao usuário para iniciar o prompt de comando do Windows, a janela preta onde você digita comandos de texto, e pressionar Ctrl+V. Assim como em outros ataques ClickFix, um comando malicioso já foi copiado para a área de transferência pela extensão. Sem perceber, o internauta executa uma ordem que na verdade nunca leu. Convencido de reparar um bug do navegador, ele iniciará a instalação de um script malicioso que levará à implantação de ModeloRATum Trojan de acesso remoto (RAT) para Windows. Uma vez implantado, ele assumirá o controle do computador.
Desenvolvido em Python, com código fortemente ofuscado por seus criadores, o malware enviará informações detalhadas para servidores remotos. Esses dados são usados por hackers para determinar o interesse do computador que acabaram de comprometer. O vírus se configura para reiniciar sempre que você faz logon. Finalmente, ele começa a instalar outros malwares no computador, o que abre a porta para todos os abusos possíveis imagináveis. Segundo investigações realizadas por pesquisadores, os hackers se concentram nos PCs de uma empresa. Estes são mais lucrativos.
Para evitar que o usuário faça a conexão entre a extensão e o script, o payload não é acionado imediatamente após a instalação. Na verdade, os comandos são executados 60 minutos após a instalação do NexShield no navegador. Esse “A estratégia de tempo limite garante que quando um usuário instala a extensão, nenhuma ação maliciosa ocorre imediatamente”o que corre o risco de alertar a vítima.
Alertado pela Huntress, o Google removeu a extensão NexShield da Chrome Web Store. Ele não está mais disponível para download, mas os navegadores ainda podem estar equipados com ele. A extensão NexShield também foi baixado milhares de vezes antes de ser retirado da loja. Lá “campanha ainda está em desenvolvimento”o que significa que você precisa ser extremamente cuidadoso.
Antes de instalar uma extensão, reserve alguns minutos para descobrir como ela funciona, a identidade de seu editor e seu histórico de atualizações. Sempre verifique as avaliações, os comentários e a avaliação geral, tendo cuidado com as avaliações que são muito entusiasmadas ou muito recentes para serem confiáveis. Em caso de dúvida, evite e escolha extensões reconhecidas, amplamente utilizadas e recomendadas por fontes confiáveis.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Caçadora