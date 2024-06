Hackers estão usando navegadores falsos, que imitam Google Chrome, Microsoft Word e OneDrive para instalar payloads em dispositivos.

Esse truque está sendo usado por vários criminosos, que enviam mensagens de erro falsas por meio desses aplicativos e enganam os usuários para que estes baixem malware.

A pior parte é que o Windows ainda não consegue detectar ou bloquear esses ataques. Portanto, até que o sistema operacional seja capaz de fazê-lo, o perigo persiste.

Hackers de todo o mundo estão constantemente criando novas maneiras de enganar os usuários. Pela primeira vez, atores mal-intencionados criaram navegadores falsos, que se parecem exatamente como Google Chrome, Microsoft Word e OneDrive.

A pior parte é que esta não é uma operação única. Isso porque vários agentes de ameaças foram encontrados usando esse truque.

Por exemplo, TA571, o agente de ameaça conhecido por enviar e-mails em massa para induzir os usuários a baixar malware, foi encontrado usando esse método.

Da mesma forma, descobriu-se que os agentes de ameaças por trás do ClearFake e de um novo cluster de ataque chamado ClickFix faziam parte desta operação maliciosa.

Como exatamente funciona os golpes com navegadores falsos?

De acordo com um relatório da Proofpoint, os payloads usados nesses ataques são NetSupport, Matanbuchus, Amadey Loader, DarkGate, XMRig, um sequestrador de área de transferência (clipboard hijacker) e Lumma Stealer.

Chegando à metodologia do ataque, existem três maneiras pelas quais estes estão sendo realizados. Vamos esclarecer cada um deles a seguir.

Método #1 – Campanha ClickFix

O primeiro caso está associado à campanha ‘ClickFix’.

Aqui, os agentes da ameaça enviam uma mensagem de erro aos usuários por e-mail (ou como sobreposições de sites) e depois os convencem a baixar a atualização mais recente do navegador.

No entanto, o link leva a atualizações de navegadores falsos, usadas para instalar um malware no dispositivo da vítima.

Em alguns casos, os usuários também são solicitados a abrir o “Windows PowerShell (Admin)” e colar um determinado código fornecido pelos hackers. O resultado final é o mesmo aqui também.

Método #2 – Certificado Raiz

Alternativamente, os hackers enviam um aviso aos usuários, dizendo que houve algum problema na exibição da página web e que o usuário precisa instalar um “certificado raiz”.

Para fazer isso, os usuários são orientados a copiar um script do PowerShell para a área de transferência do Windows e executá-lo em um console de administração do Windows. Esse script exibiria mensagens falsas enquanto baixava silenciosamente malware no dispositivo que roubaria suas informações.

Método #3 – E-mail falso

No terceiro método, os agentes de ameaças enviam e-mails que se parecem com solicitações de documentos do Microsoft Word e pedem aos usuários que baixem algo chamado “Word Online”, uma extensão que aparentemente ajudará os usuários a visualizar seus documentos corretamente.

A mensagem de erro também continha opções como “Como corrigir” e “Correção automática”, que contêm certos comandos que aparentemente podem corrigir os erros (qualquer erro exibido ao usuário) se colados no PowerShell. No entanto, na realidade, isso abrirá o sistema do usuário para malware.

Quão eficazes são esses truques que usam navegadores falsos?

O maior problema com esses truques é que o Windows ainda não consegue detectá-los e bloqueá-los. Por isso, até então, os usuários continuam vulneráveis.

Além disso, embora os métodos de ataque exijam muita engenharia social, eles estão sendo empregados de forma tão inteligente que os usuários realmente acreditam que há algo errado com seu sistema e que precisam fazer alguma coisa para consertá-lo. Isto significa que os ataques estão de fato a revelarem-se bastante eficazes.