Hackers brasileiros usam extensão do Chrome para golpes

Uma extensão do Chrome usada por cibercriminosos brasileiros foi removida pelo Google da loja de aplicativos do navegador. Segundo identificou a Kaspersky Brasil, a ameaça tinha como alvo os usuários corporativos, com o objetivo de roubar credenciais bancárias.

Os hackers usavam redes sociais para identificar as pessoas dentro das empresas responsáveis por transações financeiras. A partir daí, ligavam para as vítimas e pediam a atualização no módulo de segurança do banco, sem a qual o acesso à conta seria bloqueado. As vítimas, então, instalavam uma extensão do Chrome chamada Interface Online, da Internet Security Online.

O telefonema tinha instruções sobre como atualizar o suposto módulo de segurança. A vítima devia acessar um endereço web e, ao clicar em “Instalar”, era redirecionada para a página da extensão na Chrome Store. O código malicioso capturava os dados inseridos na página do banco.

Renato Marinho, diretor de pesquisa da Morphus Labs e membro do SANS Internet Storm Center, divulgou o golpe. De acordo com ele, os hackers estão concentrados em apenas alguns alvos corporativos e o malware tem relativamente poucas detecções no VirusTotal.

Fabio Assolini, analista sênior de malware da Kaspersky no Brasil, afirmou que o ataque foi identificado em 8 de agosto e os servidores de comando e controle foram apontados e bloqueados pelos produtos da empresa. Mas, com o servidor C2 ainda está funcionando, Marinho confirmou que este não era um ataque generalizado e que outros hackers usaram extensões maliciosas em outros ataques no Brasil, incluindo alguns que visam boletos.