by ffclavis
Bookmark

Atacantes estão escondendo malware em ‘atualizações do navegador’

Atualizar seu navegador quando solicitado é uma boa prática, apenas certifique-se de que a notificação venha do próprio fornecedor.

Agentes de ameaças estão utilizando as melhores práticas de segurança cibernética contra você, escondendo malware dentro de atualizações falsas do navegador. Eles fazem isso propagando sites legítimos, mas vulneráveis, com JavaScript malicioso. Após o carregamento, o código apresenta aos usuários notificações convincentes de atualização do navegador, mascarando cargas perigosas.

De acordo com um relatório de 17 de outubro da Proofpoint, a tendência começou com um ator de ameaça, o TA569, e desde então foi adotada por pelo menos quatro grupos de ameaças diferentes, no que parece ser uma nova tendência crescente e intratável.

“O TA569 está muito ativo há algum tempo e vi como tem sido difícil para os clientes compreender e remediar a ameaça por conta própria”, disse Daniel Blackford, gerente sênior de pesquisa de ameaças da Proofpoint. Por ser tão eficaz, acrescenta ele, “outros atores de ameaças aproveitaram-se totalmente dele”.

Código malicioso, oculto em sites honestos

Embora possam variar nos detalhes, cada um dos quatro grupos de ameaças rastreados pela Proofpoint segue basicamente o mesmo roteiro.

Primeiro, os atores aproveitam um site legítimo, mas vulnerável, injetando seu próprio código JavaScript malicioso.

“É geralmente muito oportunista. Vimos isso em basicamente todos os setores: mídia, associações esportivas locais – como grupos de futebol infantil – empresas de software, em alguns casos”, diz Blackford.

Pode ser uma vulnerabilidade não corrigida ou uma configuração incorreta do WordPress que fornece a abertura, “mas nem sempre precisa ser o próprio site. Pode ser qualquer ativo importado para o site – qualquer tipo de modelo de estilo, reprodutor de mídia, ou praticamente qualquer código de terceiros”, diz ele.

Quando um usuário final carrega o site, o script do invasor é executado junto com o restante dos vários ativos do site. Sua função é encaminhar o tráfego para um domínio controlado pelo invasor.

A isca falsa de atualização do navegador

A partir daqui, explica Blackford, “o Web Inject irá obter algumas informações sobre o seu sistema – você vem desta localização geográfica, está usando esta versão do navegador. Ele pode determinar se você está em algum tipo de ambiente virtual ou não. E se você passar em todos os critérios, ele chegará ao servidor back-end e exibirá a falsa página de atualização.

As iscas de atualização são projetadas para parecer que vêm dos desenvolvedores do navegador, com uma aparência limpa e iconografia relevante. As capturas de tela a seguir, cortesia do pesquisador de segurança Jerome Segura, capturam atualizações falsas do TA569 e de outro cluster, “FakeSG“, também conhecido como “RogueRaticate“.

Se um usuário cair na armadilha e clicar em “Atualizar”, ele baixará malware para seu computador.

Se o invasor for TA569, por exemplo, um usuário baixará seu malware de acesso inicial exclusivo “SocGholish“. No passado, o SocGholish foi usado como base para ransomware, incluindo WastedLocker, LockBit, Drydex, Hive e outros mais.

Como evitar atualizações falsas do navegador?

Funcionários e civis instruídos são ensinados a evitar links e anexos em e-mails ou mensagens de texto não reconhecidos. Eles podem saber que devem evitar um link de aparência obscena, mas e uma notificação vinda do navegador?

Para distinguir uma atualização real de uma falsa, Blackford incentiva os usuários a prestar atenção em como seus sites e navegadores confiáveis normalmente se comportam e se acontece algo que não esteja alinhado com o padrão usual.

“Nove em cada dez vezes, vou ao site da liga de futebol do meu filho e vejo: ok, temos uma partida contra alguma outra escola na quarta-feira e nada acontece. E então, uma vez, de repente, eu sou redirecionado para uma página que diz que estou usando uma versão antiga do Chrome, clique neste botão para atualizar. Essa diferença no padrão deve ser o gatilho”, diz ele, embora admita que “não é fácil de detectar. Mas isso também é por que os bandidos continuam a ganhar dinheiro descontroladamente.”

No final das contas, os usuários não devem ter medo de manter a higiene da segurança cibernética. “Atualizar seu navegador é uma boa prática de segurança”, afirma Blackford, “e eu sugiro fortemente que as pessoas façam isso”.

Para saber mais, clique aqui.