Novo malware do Google Chrome com carga furtiva rouba credenciais do usuário

As empresas de segurança cibernética estão varrendo continuamente o ambiente online para encontrar novas ameaças de malware que podem colocar em risco a privacidade do usuário e entender os vetores de distribuição típicos pelos quais esses ataques são realizados. Recentemente, os pesquisadores encontraram um novo malware que se assemelha fortemente a outras credenciais já conhecidas que roubam ameaças. No entanto, a amostra analisada parece única não apenas por atingir especificamente o navegador Google Chrome, ao contrário de outras ameaças conhecidas que visam todos os navegadores populares da Internet, mas também pela tecnologia usada. Essa nova ameaça não é ofuscada e deve teoricamente ser bloqueada por soluções anti-malware. No entanto, o software antivírus nem o detecta na maioria dos casos, o que é bastante intrigante para os analistas de malware.

A infecção com esta nova ferramenta de coleta de credenciais ocorre com a ajuda de um conta-gotas básico . Esse conta-gotas cria uma pasta \ temp no caminho atual, que tem cerca de 6 MB de tamanho e se torna a pasta pai do malware. Nesta nova pasta, o conta-gotas cria um script simples chamado "death.bat" que exclui o diretório / temp. Em seguida, o conta-gotas cria seis outros arquivos na pasta pai, compostos por cinco arquivos DLL e um binário chamado "virus.exe" que parece estar usando cURL. Os pesquisadores apontam que não existem muitas outras ameaças de malware que usam cURL, o que torna a nova ameaça realmente interessante. Além disso, os nomes dos arquivos do malware são claros e não usam ofuscação ou criptografia. Depois de preencher a pasta pai, o malware executa o binário "virus.exe", enquanto o script em lote que exclui todos os traços do malware é executado cinco segundos depois. Em seguida, uma caixa de mensagem com uma mensagem de erro genérica aparece, ao que parece, simplesmente para enganar o usuário.

A análise da carga útil principal do malware revela que é uma ameaça real à privacidade do usuário. O Google Chrome armazena não apenas nomes de usuário e senhas, mas também dados de cartão de crédito. Um usuário comum não precisa de privilégios de administrador para acessar o arquivo Chrome no qual o navegador armazena as credenciais, o que, por sua vez, significa que o malware não precisa de uma ferramenta de elevação de privilégios para acessar esse arquivo. As credenciais do Chrome são armazenadas em um arquivo SQLite DB. Para ignorar o mecanismo de proteção do navegador, o malware mata apenas determinados processos do Chrome, abre o arquivo de banco de dados, realiza várias consultas SQL e lê as informações contidas no arquivo. Depois disso, os dados são salvos e enviados para o próprio Formulário do malware do Google via cURL. Nesse caso, o aplicativo gratuito Google Forms baseado na Web é mal usado pelos invasores para coletar e armazenar dados roubados.

Com base em seu fluxo operacional, essa nova ameaça não pode ser identificada como membro de qualquer família de malware conhecida que rouba credenciais do Chrome. É muito inteligente, silencioso e rápido, não cria nenhum arquivo no disco, não altera o registro e, em geral, não causa danos ao computador infectado. Por outro lado, é difícil capturar ao usar o cURL e o Google Forms e, em qualquer caso, é uma séria ameaça à privacidade do usuário, pois coleta dados confidenciais como senhas e números de cartão de crédito.