0
0
O malware de sequestro de navegador conhecido como ChromeLoader está se tornando cada vez mais difundido e crescendo em sofisticação, de acordo com dois avisos divulgados esta semana. Representa uma grande ameaça para os usuários de negócios.
ChromeLoader é um malware sofisticado que usa o PowerShell, uma estrutura de gerenciamento de automação e configuração, para injetar-se no navegador e adicionar uma extensão maliciosa. Esse tipo de ameaça aumenta drasticamente a superfície de ataque, já que as empresas atuais dependem mais de aplicativos de software como serviço (SaaS) em meio a ambientes de trabalho flexíveis e pontos finais diversos.
“O navegador é a porta de entrada da Internet e, portanto, a primeira linha de defesa do usuário quando acessa aplicativos SaaS”, diz Ohad Bobrov, CTO e co-fundador da Talon Cyber Security, ao Dark Reading. “Os atacantes identificaram o navegador como uma oportunidade de roubar informações remotas de aplicativos SaaS, bem como criar extensões maliciosas que podem manipular facilmente.”
Neste caso, o malware está usando arquivos ISO (Malicious optimal disc image, imagem de disco ideal) — muitas vezes escondidos em versões rachadas ou piratas de software ou jogos — para assumir o navegador e redirecioná-lo para exibir resultados de pesquisa falsos em um esquema de malvertising.
Tanto um aviso do MalwarebytesLabs quanto um aviso do Red Canary apontam que o abuso do ChromeLoader no PowerShell, combinado com o uso de arquivos ISO, tornam o ChromeLoader particularmente agressivo.
“O PowerShell, como qualquer outro shell avançado, pode ser usado como uma ferramenta de administração para automatizar tarefas”, explica Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, fornecedora de SaaS para remediação de risco cibernético corporativo. “Os administradores usam scripts de conchas benignos para inúmeras tarefas porque podem ser versáteis e facilmente acessíveis em quase todas as plataformas.”
Ele ressalta que o uso de um arquivo ISO para transportar o script, que depois descarta uma extensão maliciosa, não é uma técnica nova, mas continua eficaz porque os ISOs ainda são comumente usados em configurações de negócios. Embora esta campanha esteja contando com um ardil de software pirateado, os ISOs também são importantes no gerenciamento de rede e sistemas e são usados para instalar pacotes em servidores e contêineres. O Linux é instalado via ISO, assim como algumas atualizações do Windows.
Infectar o navegador ajuda a contornar medidas de segurança
Parkin acrescenta que, com tantos aplicativos agora baseados em navegador, é um lugar lógico para os cibercriminosos colocarem seu código malicioso.
Além disso, o navegador é um aplicativo que não é monitorado pela maioria dos programas de segurança, e as extensões geralmente não são digitalizadas pela maioria das soluções de proteção de ponto final para determinar se eles são maliciosos.
“Ao infectar o navegador, o invasor contorna uma série de medidas de segurança, como criptografia de tráfego, que de outra forma impediriam seu ataque”, diz Parkin. “É como adicionar um disco rígido malicioso ao seu sistema.”
Ter acesso a um navegador proporciona aos invasores acesso aos dados da vítima e pode, em alguns casos, proporcionar a oportunidade de realizar ações em nome da pessoa comprometida. Com um acesso tão fácil e informações de alto valor dentro dos navegadores, os operadores de malware podem alcançar grandes resultados para um esforço mínimo.
Para inicializar, os recursos do ChromeLoader não terminam com a instalação de extensões maliciosas — ele também pode realizar ataques mais avançados.
“A maioria das ferramentas de segurança não detecta isso”, diz Bobrov, da Talon. “O fato de o ChromeLoader abusar do PowerShell torna-o incrivelmente perigoso, já que isso pode permitir ataques mais avançados, como ransomware, malware sem arquivos e injeções de memória de código maliciosos.”
Ele acrescenta que os arquivos ISO podem conter muitos dados, então há muito espaço para o malware se esconder. Além disso, esses arquivos são confusos para usuários finais e têm algumas ações automáticas que o sistema operacional pode executar.
Higiene cibernética, educação do usuário necessária para parar arquivos ISO maliciosos
Bobrov diz que, para evitar a exposição a arquivos ISO maliciosos, o primeiro passo está relacionado à higiene cibernética básica: Você precisa entender e confiar nos dados que você baixa e de onde você os baixa.
“Não inicie arquivos ISO que não sejam de fontes confiáveis e nunca execute arquivos dentro da ISO sem verificar sua segurança”, aconselha. “Ao navegar na Internet, certifique-se de que você tenha controles de segurança no local para ajudar a monitorar os sites que você navega e ajude a protegê-lo contra conteúdo malicioso.”
Do ponto de vista de Parkin, a educação do usuário é um bom primeiro passo para evitar a exposição a arquivos ISO maliciosos, o que inclui ensinar os usuários a serem cautelosos ao baixar arquivos suspeitos. (Qualquer software rachado cai neste balde.)
“Além da educação do usuário, os administradores podem implantar ferramentas e aplicar políticas que restringem a montagem de arquivos ISO, embora isso possa ser um desafio nos ambientes BYOD [trazer seu próprio dispositivo]”, diz ele.
Um passo além disso é usar ambientes de desktop remotos como VNC, Citrix ou Windows Remote Desktop, que podem transferir a aplicação da política de volta para as mãos do administrador de TI.
FONTE: DARK READING