Fonte:

Cuidado com as extensões que você instala no Chrome: especialistas de cibersegurança da Huntress descobriram que criminosos estão usando uma falsa extensão que bloqueia anúncios no navegador do Google para roubar dados dos usuários. Falha crítica comum deixa hackers invadirem fones Bluetooth e ouvir conversas Spyware Predator monitora usos da ferramenta pelo usuário, diz análise Denominada KongTuke, a campanha distribui um trojan de acesso remoto chamado ModeloRAT, que chega aos dispositivos camuflado pela extensão. De acordo com os especialistas, o ataque tem um modus operandi similar ao ClickFix, técnica maliciosa que engana as vítimas para que elas mesmas instalem um software comprometido em seus computadores. Também foi detectado que o KongTuke é um nome dado a um sistema de distribuição de tráfego que cria perfis de vítimas antes de redirecioná-los para um site de payloads que infecta os sistemas visados. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Como o ataque se concretiza Tudo começa quando o usuário busca uma ferramenta para bloquear anúncios na loja do Chrome, sendo impactado por um anúncio malicioso que o direciona para a extensão “NexShield – Advanced Web Guardian". Ataque começa quando o usuário busca ferramenta para bloquear anúncios no Chrome (Imagem: Reprodução/Google). Apresentando-se como um recurso que age como um “escudo de privacidade definitivo”, a extensão diz proteger o navegador contra anúncios, rastreadores, conteúdos intrusivos e até mesmo malwares. A ferramenta foi baixada, pelo menos, 5 mil vezes até ser desativada. Segundo a análise da Huntress, a NexShield é um clone do uBlock Origin Lite, uma extensão legítima que bloqueia anúncios nos principais navegadores disponíveis atualmente. A falsa ferramenta aproveita essa legitimidade para exibir um aviso de segurança falso, alegando que o navegador “parou de forma anormal”. Depois, o alerta pede ao usuário para que ele execute uma verificação que promete corrigir uma possível ameaça de segurança. A operação instrui o alvo a abrir uma caixa de “Executar” do Windows, colando ali um comando exibido na tela. Assim que a ação é feita, o navegador trava totalmente, causando uma falha de negação de serviço (DoS) que cria várias portas de conexão por meio de um loop infinito. Como consequência, há um consumo excessivo de memória do dispositivo, o que provoca lentidão e um eventual travamento do browser. Após a infecção Uma vez que o malware está dentro do sistema, a vítima passa a ser monitorada pelos hackers graças a um canal de transmissão criado entre o navegador e o servidor comprometido. Além disso, a extensão falsa usa um mecanismo de camuflagem que só permite que o software malicioso seja acionado 60 minutos depois da infecção. O payload age a cada 10 minutos depois disso. Extensão falsa para Chrome clona bloqueador de anúncios para enganar usuários (Imagem: Xavier Cee/Unsplash). O resultado dessa operação é um “ciclo vicioso” que ativa o falso alerta toda vez que o usuário força o fechamento do navegador, reiniciando-o depois que ele para de responder, uma ação que ocorre devido ao ataque do malware. Segundo os pesquisadores, o KongTuke pode ter como grande foco ambientes corporativos, usando dispositivos de funcionários para roubar informações sigilosas com base em engenharia social. Leia também: Hackers exploram falha em plugin do Wordpress para acessar sites vulneráveis Hackers atacam app de alimentação em busca de dados para extorsão Microsoft Copilot entra na mira de ciberataques com roubo de dados Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.