Hackers de malware StealC forçam usuários do Chrome a revelar a senha do Google
Atualização, 17 de setembro de 2024: Esta história, publicada originalmente em 15 de setembro, agora inclui detalhes de mais ameaças de roubo de credenciais direcionadas a usuários de navegadores da web.
Uma pesquisa publicada recentemente revelou como os agentes de ameaças estão usando uma nova técnica tortuosa para forçar os usuários do navegador Chrome a revelar suas senhas de conta do Google por pura frustração. A campanha de roubo de credenciais, que usa um malware chamado StealC, bloqueia o navegador do usuário no modo quiosque enquanto bloqueia as teclas F11 e ESC para evitar que ele escape desse modo de tela cheia. A única coisa exibida na tela do navegador enquanto estiver nesse modo quiosque irritante e aparentemente inescapável é uma janela de login, geralmente para sua própria conta do Google, de acordo com os pesquisadores.
Como os hackers usam uma nova técnica de aborrecimento para roubar senhas de contas do Google
Os agentes de ameaças têm usado muitos métodos para obter acesso a contas preciosas do Google, à chave para sua caixa de entrada do Gmail e aos tesouros de segurança contidos nela, ou à sua senha de carteira criptografada. Recentemente, vimos malware usando reconhecimento óptico de caracteres para capturar senhas criptográficase outro que tem como alvo códigos de autenticação de dois fatores, enganando os usuários dando permissão para ler mensagens SMSpor exemplo. Mas agora há um novo jogador na cidade chamado StealC, que usa talvez o método mais simples, porém mais eficaz, de obter acesso às credenciais da conta do Google: irritar a vítima pra caramba.
Os pesquisadores do Open Analysis Lab revelaram como a campanha de liberação de credenciais vem usando a técnica desde pelo menos 22 de agosto. Em seu análiseos pesquisadores do OALabs confirmaram que os hackers forçam a vítima a inserir suas credenciais no navegador de onde o malware pode roubá-las. “A técnica envolve iniciar o navegador da vítima no modo quiosque e navegar até a página de login do serviço visado, geralmente o Google”, disseram os pesquisadores. Como o modo quiosque é uma implantação de tela cheia do navegador, e a vítima é impedida de navegar para longe dele ou fechar o aplicativo, apenas uma opção é disponibilizada para aqueles que têm o azar de ficar presos dessa forma: uma janela de login da Conta do Google.
O Google Account Credential Flusher não é um ladrão de credenciais
Curiosamente, o próprio credential flusher não é realmente um ladrão de credenciais. Em vez disso, ele apenas aplica a alavancagem necessária para fazer com que a vítima frustrada insira suas credenciais de conta. Depois que eles fazem isso, um pedaço padrão de malware para roubo de credenciais, neste caso o StealC, é implantado para pegar as senhas do armazenamento de credenciais do navegador Chrome e entregá-las aos invasores. Na verdade, toda a campanha só é possível usando vários elementos conhecidos diferentes. Principalmente a ferramenta de hacking Amadey, que está em uso há pelo menos seis anos, que carrega o malware. Os pesquisadores do OALabs dão crédito aos parceiros de inteligência de ameaças Agência Loader Insight com a ajuda de mapear e colocar um roteiro de ataque típico:
- A vítima está infectada com Amadey.
- Amadey carrega o malware StealC.
- Amadey carrega o limpador de credenciais.
- O limpador de credenciais inicia o navegador no modo quiosque.
- A vítima insere seus dados de login e eles são roubados pelo malware StealC.
Novo ataque TrickMo visto usando telas de login falsas e 2FA Code Grabber
Se a campanha de liberação de credenciais StealC não fosse ruim o suficiente, parece que os usuários do Chrome têm outra ameaça contínua de roubo de credenciais com a qual se preocupar. Pesquisadores da equipe de inteligência de ameaças da Cleafy, especialista em detecção de fraudes, identificaram uma nova variante de um conhecido Trojan bancário chamado TrickMo que agora finge ser o aplicativo do navegador da web Google Chrome para Android. Ao instalar o aplicativo desonesto, a vítima verá um aviso de que o Google Play precisa ser atualizado e uma caixa de diálogo com um botão de confirmação. Isso na verdade instala outro aplicativo chamado Google Services, que solicita, sim, você adivinhou, permissões do usuário. Orientando o usuário durante o processo, ele o envia para habilitar serviços de acessibilidade para o aplicativo. Uma vez feito, isso dá aos invasores as permissões elevadas necessárias para interceptar mensagens SMS e quaisquer códigos únicos de autenticação de dois fatores entregues dessa forma. O TrickMo também usará um ataque de sobreposição de HTML, essencialmente exibindo uma tela que parece um login genuíno para capturar credenciais de conta.
Para evitar a detecção por recursos de detecção de malware do navegador e do dispositivo, a nova variante do TrickMo usará uma técnica de arquivos Zip malformados, que envolve adicionar diretórios nomeados da mesma forma que arquivos críticos do sistema. “Essa estratégia inteligente de ofuscação pode fazer com que uma operação de descompactação substitua esses arquivos críticos, potencialmente dificultando a análise subsequente”, disseram os pesquisadores, acrescentando que também torna mais difícil para ferramentas de análise automatizadas usadas por defensores cibernéticos examinarem o conteúdo do arquivo, pois a “estrutura malformada pode levar a erros ou extrações incompletas, complicando significativamente o processo de análise”.
Como mitigar ataques Kiosk-Mode e TrickMo
Embora possa parecer uma tarefa de Sísifo, ainda é possível sair do modo quiosque sem acessar as teclas ESC ou F11 mais óbvias do teclado, como Computador bipando aconselha.
Recomenda-se que os usuários tentem combinações de teclas de atalho Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete e Alt + Tab, que podem permitir que você acesse sua área de trabalho e inicie o Gerenciador de Tarefas para encerrar o navegador Chrome dessa forma. O Bleeping Computer também sugere usar a combinação Win Key + R para abrir um prompt de comando do Windows de onde o Chrome pode ser encerrado com “taskkill /IM chrome.exe /F.”
Por fim, há a opção nuclear de desligar pelo botão de energia. Se estiver adotando essa abordagem, certifique-se de inicializar no Modo de Segurança com a tecla F8 e faça uma varredura completa do sistema para a infecção por malware para evitar que isso aconteça novamente.
Ao mitigar um ataque usando a variante mais recente do TrickMo, o conselho é simples e frequentemente repetido: não baixe software Android de nenhuma fonte que não seja a Play Store oficial.
Cadeia de Ataque do Windows Identificada Usando Duas Vulnerabilidades de Dia Zero Para Roubar Senhas
Não são apenas os usuários do navegador Google Chrome que precisam ser extremamente vigilantes neste mês; todos os usuários de navegadores estão enfrentando novas e particularmente perigosas ameaças de roubo de informações, ao que parece. A Agência de Segurança Cibernética e de Infraestrutura dos EUA, que se descreve como a agência de defesa cibernética dos Estados Unidos, agora adicionou uma vulnerabilidade de dia zero do Microsoft Windows em um componente do navegador usado para compatibilidade com versões anteriores ao Catálogo de Exploração Conhecida. Conforme determinado pela Diretiva Operacional Vinculativa 22-01, esta ordem obrigatória destinada a agências, departamentos e poderes executivos federais, exige que eles atualizem seus sistemas para corrigir todas as entradas KEV em um curto espaço de tempo. No caso do CVE-2024-43461, são apenas três semanas, com 7 de outubro sendo a data-alvo.
CVE-2024-43461, foi abordado pelo último resumo de segurança do Patch Tuesday da Microsoft, mas desde então foi atualizado para o status de dia zero quando foi descoberto que já estava sendo explorado pelo grupo de ameaças persistentes avançadas Void Banshee em julho de 2024. A vulnerabilidade em si fica dentro do mecanismo do navegador MSHTML, conhecido como Trident, que é usado pela Microsoft por motivos de compatibilidade com versões anteriores para usuários do Windows. Para ser técnico, CVE-2024-43461 é na verdade parte de uma cadeia de exploração e é usado em conjunto com uma vulnerabilidade muito semelhante, CVE-2024-38112, que foi corrigida nas atualizações do Patch Tuesday de julho de 2024. Ambas são cargas úteis de execução remota de código arbitrário, falhas de falsificação de MSHTML.
Ao usar arquivos de atalho de internet do Windows, os invasores conseguiam invocar o navegador da web Internet Explorer, há muito obsoleto e obsoleto, quando clicados. Isso direcionava a vítima para um site ou página que estava sob o controle do invasor e iniciava o download de um arquivo de aplicativo HTML. Quando o usuário clica nisso, e sim, envolve muitos cliques do usuário como a maioria dessas explorações, para ser honesto, um script seria executado para instalar um malware que rouba informações conhecido como Atlantida.
De acordo com a Trend Micro Iniciativa Dia Zero pesquisadores que primeiro descobriram a cadeia de exploração usada nesses ataques, a vulnerabilidade existe na maneira como o Internet Explorer avisa o usuário depois que um arquivo é baixado. “Um nome de arquivo criado pode fazer com que a extensão real do arquivo fique oculta, enganando o usuário a acreditar que o tipo de arquivo é inofensivo. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do usuário atual”, eles disseram.
A Microsoft confirmou que, embora tenha aposentado o Internet Explorer na maioria das plataformas, as plataformas subjacentes MSHTML, EdgeHTML e scripting ainda são suportadas. “A plataforma MSHTML é usada pelo modo Internet Explorer no Microsoft Edge, bem como outros aplicativos por meio do controle do WebBrowser”, disse. Para garantir que eles estejam totalmente protegidos contra ameaças como essa cadeia sendo explorada pelo grupo Void Banshee, a Microsoft recomenda que os usuários que instalam atualizações “somente de segurança” para esses aplicativos legados também instalem as atualizações cumulativas mais recentes do IE para essa vulnerabilidade.
