No final de abril de 2018, os produtos da Kaspersky Lab detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”, em português) que estava se comunicando com uma zona de domínio suspeita, normalmente usada por cibercriminosos.
A extensão maliciosa, segundo os especialistas da empresa, atacou 98 clientes brasileiros de vários bancos do País.
Um trojan bancário é um tipo de malware que tem como objetivo roubar as credenciais dos usuários – como logins, senhas e números de identificação – e, também, dinheiro de suas vítimas.
Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha de um criminoso – principalmente por razões técnicas, é muito mais fácil que os criminosos desenvolvam as próprias extensões de adware.
Extensões maliciosas, quando instaladas, tendem a utilizar diferentes técnicas para impedir detecções realizadas por soluções de segurança.
Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer uma comunicação em tempo real com o servidor de controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima venha a visitar sites de bancos brasileiros.
O código malicioso copiou o botão “Fazer login” para que, quando o usuário inserisse suas credenciais, elas fossem passadas não apenas para os sistemas bancários on-line, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.