Pesquisas recentes revelaram uma nova técnica maliciosa utilizada por hackers para roubar credenciais do Google, explorando vulnerabilidades no navegador Google Chrome. A tática, que envolve o uso de malware conhecido como StealC, prende os usuários em uma janela de login em modo tela cheia (kiosk mode), onde as teclas de saída como F11 e ESC são desabilitadas, deixando a vítima sem alternativa a não ser digitar suas credenciais.
O malware StealC, que começou a ser monitorado em agosto de 2024, utiliza uma abordagem que não rouba diretamente as senhas, mas força o usuário a inseri-las devido à frustração gerada pelo bloqueio do navegador. Assim que as credenciais são fornecidas, um segundo software malicioso é ativado para capturar e enviar essas informações aos cibercriminosos.
Essa nova técnica é especialmente perigosa porque explora um método simples, mas extremamente eficaz: a irritação do usuário. O modo quiosque torna impossível sair do navegador por métodos convencionais, criando uma situação onde, para muitos, a única opção parece ser inserir seus dados de login para retomar o controle da navegação.
Além dessa ameaça, outra campanha em andamento também preocupa os usuários do Chrome, especialmente os de Android. Um novo malware, chamado TrickMo, finge ser uma atualização do Google Play. Quando instalado, ele solicita permissões críticas, incluindo acesso a mensagens SMS, o que possibilita o roubo de códigos de autenticação de dois fatores, aumentando ainda mais o risco de invasão de contas.
Os pesquisadores da Open Analysis Lab destacaram que o StealC não age sozinho. A campanha maliciosa envolve uma cadeia de ataques iniciada com a infecção por Amadey, um trojan que já é conhecido e está em operação há mais de seis anos. Esse trojan carrega o StealC e ativa o modo quiosque no navegador da vítima, prendendo-a na página de login.
Curiosamente, os pesquisadores ressaltam que o StealC em si não rouba as credenciais diretamente, mas age como um facilitador para o roubo. Após o usuário inserir suas informações de login, o malware captura os dados e os envia aos criminosos. Esse processo é habilitado por uma combinação de ferramentas, incluindo o Amadey e o StealC, que trabalham juntos para explorar falhas no Chrome.
Para escapar dessa armadilha, especialistas recomendam o uso de combinações de teclas como Alt + F4, Ctrl + Shift + Esc ou até mesmo o uso do Gerenciador de Tarefas para forçar o encerramento do navegador. Em casos mais extremos, reiniciar o computador e executar uma verificação completa em modo de segurança pode ser necessário para eliminar o malware.
No entanto, o TrickMo adiciona outra camada de preocupação, especialmente para usuários de Android. Ele utiliza uma técnica de sobreposição de tela, exibindo uma página falsa de login que captura as credenciais inseridas pelo usuário. Além disso, o malware TrickMo usa arquivos zip com estruturas malformadas para evadir ferramentas de análise de segurança.
Além do Chrome, a ameaça se estende a outras plataformas. Recentemente, o U.S. Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre uma vulnerabilidade zero-day no Microsoft Windows, que também pode ser explorada por hackers para roubar credenciais de usuários.
Em um ambiente de cibersegurança cada vez mais desafiador, os usuários devem estar atentos a atualizações de segurança e evitar baixar aplicativos de fontes não oficiais. Manter o sistema e o navegador sempre atualizados é essencial para evitar que essas vulnerabilidades sejam exploradas.
Os usuários que forem vítimas dessas campanhas devem agir rapidamente, trocando suas senhas e ativando medidas adicionais de segurança, como a autenticação de dois fatores, para proteger suas contas online.
Com informações de: Forbes