{"id":9576,"date":"2017-08-18T13:53:51","date_gmt":"2017-08-18T16:53:51","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9576"},"modified":"2018-09-18T09:51:04","modified_gmt":"2018-09-18T12:51:04","slug":"hackers-brasileiros-usam-extensao-do-chrome-para-golpes","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-usam-extensao-do-chrome-para-golpes\/9576\/","title":{"rendered":"Hackers brasileiros usam extens\u00e3o do Chrome para golpes"},"content":{"rendered":"<p class=\"p1\">Uma extens\u00e3o do Chrome usada por cibercriminosos brasileiros foi removida pelo Google da loja de aplicativos do navegador. Ela tinha como alvo usu\u00e1rios corporativos, com o objetivo de roubar credenciais banc\u00e1rias.<\/p>\n<p class=\"p1\">Os hackers usavam redes sociais para identificar as pessoas dentro das empresas respons\u00e1veis por transa\u00e7\u00f5es financeiras. Ent\u00e3o eles ligavam para as v\u00edtimas e pediam a atualiza\u00e7\u00e3o no m\u00f3dulo de seguran\u00e7a do banco, sem a qual o acesso \u00e0 conta seria bloqueado.<\/p>\n<p class=\"p1\">As v\u00edtimas instalavam uma extens\u00e3o do Chrome chamada Interface Online (veja abaixo), da Internet Security Online.<br>\n<img decoding=\"async\" class=\"aligncenter size-full wp-image-9577\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2017\/08\/18133829\/phone-bank-scam-680x400.png\" alt=\"\" width=\"680\" height=\"400\"><br>\nRenato Marinho, diretor de pesquisa da Morphus Labs e membro do SANS Internet Storm Center, <a href=\"https:\/\/isc.sans.edu\/forums\/diary\/BankerGoogleChromeExtensiontargetingBrazil\/22722\/\" target=\"_blank\" rel=\"noopener nofollow\">divulgou o golpe<\/a>. Ele disse que os hackers est\u00e3o concentrados em apenas alguns alvos corporativos e o malware tem relativamente poucas detec\u00e7\u00f5es no VirusTotal.<\/p>\n<p class=\"p1\">Fabio Assolini, analista s\u00eanior de malware da Kaspersky no Brasil, disse que o ataque foi encontrado em 8 de agosto e os servidores de comando e controle foram identificados e bloqueados pelos produtos da empresa. Mas o servidor C2 ainda est\u00e1 funcionando, afirma Marinho. Ele confirmou que este n\u00e3o era um ataque generalizado e que outros atacantes usaram extens\u00f5es maliciosas em outros ataques no Brasil, incluindo alguns que visam boletos.<\/p>\n<p class=\"p1\">O telefonema tinha instru\u00e7\u00f5es sobre como atualizar o suposto m\u00f3dulo de seguran\u00e7a. A v\u00edtima devia acessar um endere\u00e7o web e, ao clicar em \u201cInstalar\u201d, era redirecionada para a p\u00e1gina da extens\u00e3o na Chrome Store. O c\u00f3digo malicioso capturava os dados inseridos na p\u00e1gina do banco.<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"nA5G59zOmO\"><p><a href=\"https:\/\/www.kaspersky.com.br\/blog\/mamba-ransomware-brasil\/9553\/\" target=\"_blank\" rel=\"noopener\">Ransomware Mamba volta a atacar empresas no Brasil<\/a><\/p><\/blockquote>\n<p><iframe class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"\u201cRansomware Mamba volta a atacar empresas no Brasil\u201d \u2014 Daily - Portuguese - Brasil - www.kaspersky.com.br\/blog\" src=\"https:\/\/www.kaspersky.com.br\/blog\/mamba-ransomware-brasil\/9553\/embed\/#?secret=DJREs20ZGZ#?secret=nA5G59zOmO\" data-secret=\"nA5G59zOmO\" width=\"500\" height=\"282\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p class=\"p1\">\u201cOuvi uma dessas chamadas e devo admitir que elas s\u00e3o feitas de forma profissional\u201d, disse Marinho ao <a href=\"https:\/\/threatpost.com\/google-removes-chrome-extension-used-in-banking-fraud\/127469\/\" target=\"_blank\" rel=\"noopener nofollow\">Threatpost<\/a>. \u201cEles colecionaram informa\u00e7\u00f5es p\u00fablicas (Google e redes sociais) sobre o alvo para usar durante a chamada, se necess\u00e1rio. Seu discurso segue o estilo padr\u00e3o do call center e parece que est\u00e3o falando do call center real devido ao ru\u00eddo de fundo. Eu acredito que esta mistura maximiza suas taxas de sucesso \u201c.<\/p>\n<p class=\"p1\">\u201cNa minha opini\u00e3o, os criminosos est\u00e3o passando do tradicional [spam malicioso] para m\u00e9todos de ataque direcionados e criativos aqui no Brasil\u201d, disse. \u201cEst\u00e1 ficando comum ter v\u00edtimas informando que est\u00e3o recebendo chamadas telef\u00f4nicas de algu\u00e9m que finge ser de um banco e falando para fazer algo, como instalar um m\u00f3dulo de seguran\u00e7a falso, neste caso, ou pedir que digitem credenciais de token em um site falso\u201d.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-banking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Usando redes sociais, golpistas ligavam para departamento financeiro de empresas e pediam a instala\u00e7\u00e3o de falso plugin banc\u00e1rio<\/p>\n","protected":false},"author":61,"featured_media":9578,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,14,1656],"tags":[30,82,921,977,33,91],"class_list":{"0":"post-9576","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-news","10":"category-smb","11":"tag-chrome","12":"tag-cibercrime","13":"tag-extensao","14":"tag-golpe","15":"tag-google","16":"tag-internet-banking"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-usam-extensao-do-chrome-para-golpes\/9576\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/golpe\/","name":"Golpe"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9576"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9576\/revisions"}],"predecessor-version":[{"id":9667,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9576\/revisions\/9667"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9578"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}