PassRugby
Especialistas em segurança emitiram um alerta para Google Usuários do Chrome após descobrirem um ataque cibernético direcionado ao navegadorassim como Microsoftdos aplicativos Word e OneDrive.
O ataque usou mensagens de erro falsas para induzir os usuários a instalarem o software malicioso como uma “correção”.
Os hackers estão enviando notificações por e-mail e também por pop-ups de sites, alegando que o usuário sofreu um mau funcionamento do software e precisa de uma atualização rápida.
Para detectar uma falsificação, os especialistas aconselharam os usuários a serem cautelosos com mensagens que afirmam que uma correção exigirá a instalação de um “certificado raiz”, copiando e colando o código bruto.
Embora o ataque cibernético seja capaz de roubar todos os tipos de dados digitais privados, alguns dos novos malwares parecem preparados para roubar criptomoedas, como Bitcoin.
Os hackers têm uma nova tática para infiltrar malware em seu computador: atualizações falsas para o navegador Chrome do Google, bem como para os produtos Word e OneDrive da Microsoft.
A nova tática de hacking maliciosa foi descoberta por a prolífica empresa de segurança cibernética Proofpointfundada em 2002 por um ex-diretor de tecnologia da Netscape.
O novo estilo de “mensagens de erro falsas”, alertaram eles, “é inteligente e pretende ser uma notificação oficial vinda do sistema operacional”.
O esquema envolve avisos aparentemente oficiais desses gigantes da tecnologia, Google e Microsoft, pedindo aos usuários que abram o que é conhecido como ‘shell de linha de comando’, especificamente a versão da Microsoft de uma ferramenta de linha de comando para Windows, o PowerShell.
Ferramentas de linha de comando, incluindo o Windows PowerShell, são programas projetados para programadores mais experientes programarem diretamente o código principal de seu próprio computador.
As falsas mensagens de erro dos hackers incentivam usuários involuntários a copiar e colar código bruto e depois instalá-lo como uma “correção”, executando ou “executando” esse código no PowerShell.
Os especialistas em segurança cibernética só viram esses hackers implantarem esse esquema específico de “correção falsa” via PowerShell, portanto, os usuários do Apple iOS devem poder ficar tranquilos por enquanto.
O esquema envolve avisos aparentemente oficiais – como o mostrado acima – pedindo aos usuários que abram o que é conhecido como 'shell de linha de comando', uma forma de software que permite que programadores mais experientes programem seus computadores de forma mais direta e instalem um código 'correção'. '
'Esta cadeia de ataque requer interação significativa do usuário para ter sucesso', observou a empresa em sua postagem consultiva sobre a ameaça cibernética baseada no PowerShell.
“Também fornece o problema e uma solução”, observaram, “para que o espectador possa tomar medidas imediatas sem parar para considerar o risco”.
Qualquer pessoa ou prompt que lhe diga para executar código bruto em um terminal ou shell deve ser tratado com cautela e extremo ceticismo, disseram eles.
Em todos os casos, esses hackers criaram suas mensagens de erro falsas por meio de falhas ou vulnerabilidades inerentes ao uso de JavaScript em anexos de e-mail em HTML ou por meio de sites on-line totalmente comprometidos.
Embora os erros falsos sobrepostos do Google Chrome, Microsoft Word e OneDrive tenham sido documentados, os investigadores da Proofpoint alertaram que essa forma básica de hack pode representar outras solicitações confiáveis de atualização de software no futuro.
Em todos os casos, explicaram os especialistas em segurança cibernética, os hackers criaram suas mensagens de erro falsas por meio de falhas ou vulnerabilidades usando JavaScript em anexos de e-mail em HTML ou por meio de sites comprometidos. Acima, um exemplo de mensagens falsas, desta vez disfarçadas como um prompt do MS Word
Embora os erros falsos sobrepostos do Google Chrome, Microsoft Word e OneDrive (exemplo na foto acima) tenham sido documentados agora, os investigadores da Proofpoint alertaram que esta forma básica de hack pode representar outras solicitações confiáveis de atualização de software no futuro
Dois softwares maliciosos interessantes deram uma pista sobre as intenções dos hackers, de acordo com a Proofpoint.
Um chamado ‘ma.exe’ baixou e executou um programa de mineração de criptomoeda chamado XMRig com uma configuração específica. O segundo, ‘cl.exe’ foi inteligentemente projetado para substituir endereços de criptomoeda na área de transferência ‘recortar e colar’ do usuário.
Em essência, esse segundo programa de malware pretendia acidentalmente fazer com que vítimas inocentes “transferissem criptomoedas para um endereço controlado pelo agente da ameaça, em vez do endereço pretendido ao fazer transferências”, disse a equipe da Proofpoint.
Se um usuário estivesse copiando e colando o endereço de uma carteira de criptomoeda para enviar seu dinheiro digital, esse malware trocaria silenciosamente esse endereço copiado pelo endereço de sua própria carteira fictícia.
Quando o hack é bem-sucedido, o usuário não percebe a mudança e simplesmente envia o dinheiro da criptomoeda para a carteira fictícia anônima do hacker.
Em abril, os especialistas em segurança viram esse novo método em uso junto com o conjunto de ferramentas de hacking ClearFake, que teve como alvo os usuários da Apple em novembro passado com o que foi descrito como um vírus de “um golpe, esmaga e agarra”. Os novos hacks parecem estar preparados para roubar criptomoedas dos usuários
Em abril, os especialistas em segurança viram este novo método em uso juntamente com o cluster ClearFake de ferramentas de hackingque teve como alvo os usuários da Apple em novembro passado com o que foi descrito como um vírus “one hit smash-and-grab”.
O script PowerShell malicioso do hacker atua como um Trojan que permite que ainda mais códigos maliciosos sejam baixados no sistema da vítima.
Primeiro, ele realiza vários diagnósticos para confirmar se o dispositivo host é um alvo válido.
Como teste chave, um dos scripts maliciosos do PowerShell obteria as temperaturas do sistema do computador da vítima para detectar se o malware estava sendo executado em um computador real, ou em uma chamada 'sandbox' – um PC virtual isolado usado para lidar com e analisar software potencialmente perigoso.
Se nenhum dado de temperatura fosse retornado ao malware, esse fato era interpretado como uma indicação de que o código do hacker estava na verdade sendo executado dentro de um ambiente virtual ou sandbox.
O malware então sairia e abortaria sua operação, protegendo o código malicioso posterior e mais detalhado dos hackers de ser capturado na sandbox para estudo por especialistas.
A equipe da Proofpoint aconselhou os usuários a serem cautelosos ao copiar e colar código ou outro texto de avisos em sites ou alertas que alegam vir de aplicativos de software confiáveis.
'Software antivírus e EDRs [Endpoint Detection and Response monitoring software]', disseram eles,' têm problemas para inspecionar o conteúdo da área de transferência.
A empresa de segurança cibernética também apelou às empresas para que conduzissem formação sobre esta questão e se concentrassem na “detecção e bloqueio” que impediriam que estes e outros avisos semelhantes de “correção falsa” aparecessem em primeiro lugar.
Source link
