Invasores explorando o Google Chrome no Windows 10 para enganar segurança

Uma campanha de malware foi descoberta visando o sistema operacional Windows 10 em execução em navegadores Chrome. Os invasores usaram uma técnica chamada Controle de Conta de Usuário (UAC) para contornar as proteções de segurança cibernética do Windows.

O objetivo da campanha

Os pesquisadores da Rapid7 observaram pela primeira vez a campanha de malware em andamento.

• O objetivo da campanha é obter dados confidenciais e roubar criptomoedas dos sistemas infectados.
• Os hackers usam um arquivo malicioso chamado HoxLuSfo.exe com código ofuscado para roubar credenciais.
• O malware tem como alvo e mata processos chamados Google, Microsoft Edge e setu.

Compreendendo o desvio do UAC

Os invasores exploram uma vulnerabilidade do utilitário Disk Cleanup em algumas versões do Windows 10 para contornar o UAC. 

• Isso permite que uma tarefa agendada nativa execute código arbitrário adulterando o conteúdo de uma variável de ambiente.
• Os invasores usaram um comando PowerShell lançado por um executável suspeito, HoxLuSfo [.] Exe.

A corrente de ataque

• O ataque começa com um usuário direcionado do navegador Chrome visitando um site malicioso e um serviço de anúncio de navegador solicitando que o usuário execute uma ação.
• Além disso, a vítima é solicitada a permitir que o site malicioso envie solicitações de notificação por meio do navegador.
• Assim que as notificações são permitidas, a vítima é informada de que seu navegador Chrome deve ser atualizado.

Além disso , os arquivos de histórico do navegador Chrome revelam redirecionamentos para domínios suspeitos e outros redirecionamentos antes de uma infecção inicial.

Notas finais

Esta parece ser uma campanha de malware avançada, já que o malware usa código ofuscado e ignora o UAC. Além disso, a campanha é motivada financeiramente e visa roubar credenciais do navegador e criptomoeda. Os especialistas recomendam evitar sites desconhecidos e clicar em links suspeitos.

Fonte: https://cyware.com/