Marcadores

Avast protege mais de 66.000 brasileiros do trojan bancário Chaes, no quarto trimestre de 2021

 O trojan rouba as credenciais de login dos brasileiros, além do histórico, perfis dos usuários armazenados no navegador Chrome, bem como credenciais de login bancário e detalhes da conta ao visitar sites de bancos online.

A Avast (LSE:AVST), líder global em segurança e privacidade digital, observou um aumento na atividade do trojan bancário Chaes no Brasil, durante o quarto trimestre de 2021. O Chaes é um trojan bancário que opera exclusivamente no Brasil e foi reportado pela primeira vez em novembro de 2020 pela Cybereason. No último trimestre de 2021, a Avast observou um aumento nas atividades do Chaes. A Avast detectou e bloqueou o trojan bancário, evitando a infecção de mais de 66.000 clientes da Avast no Brasil, no quarto trimestre de 2021. O Chaes foi desenvolvido para roubar credenciais de login armazenadas no navegador Chrome, bem como roubar credenciais de login de sites bancários populares no Brasil, quando os clientes tentam acessar as suas contas.

“Em nossa investigação, descobrimos que o Chaes está sendo distribuído por meio de muitos sites comprometidos, incluindo sites altamente confiáveis. No geral, encontramos partes ativas e inativas do código Chaes em mais de 800 sites, e mais de 700 deles contidos em sites .BR”, diz Anh Ho, pesquisador de malware da Avast. “Todos os sites comprometidos que encontramos são sites do WordPress, o que nos leva a acreditar que os maus agentes, por trás disso, estão explorando vulnerabilidades no CMS - WordPress. Imediatamente compartilhamos as nossas descobertas com o CERT brasileiro, para ajudar a evitar a propagação do Chaes. Ainda hoje, o código de Chaes permanece em alguns dos sites que encontramos.

Como o Trojan bancário infecta os computadores

Quando alguém acessa um site comprometido pelo Chaes é apresentado um pop-up*, que solicita ao visitante do site instalar um aplicativo Java Runtime. Se o usuário seguir as instruções, ele fará o download de um instalador malicioso, o qual se apresenta como um instalador Java legítimo. A falsa janela do instalador malicioso** imita de forma muito parecida o legítimo instalador do Java em português para usuários brasileiros, em termos de aparência e comportamento.

Roubo de credenciais de login, histórico do navegador e muito mais 

Quando a instalação estiver concluída, o computador do usuário estará comprometido. Após alguns minutos, todas as credenciais de login, históricos e perfis do usuário armazenados pelo Chrome são enviados aos invasores. Os usuários podem experimentar fechar e reiniciar o Google Chrome automaticamente. Isso indica que qualquer interação futura com os sites bancários brasileiros (lista a seguir) será monitorada e interceptada pelo trojan bancário. Isso significa que o malware rouba os detalhes da conta, como credenciais de login, número da conta bancária, saldo da conta e muito mais.

Além disso, o Chaes pode abrir o navegador Chrome em determinadas páginas, sem interação do usuário. Se os usuários, por exemplo, não se desconectarem da sua conta bancária online ou tiverem as credenciais de login salvas no navegador, o malware poderá acessar a conta, potencialmente sem o conhecimento do usuário.

Como as pessoas podem se proteger

Anh Ho recomenda que os consumidores usem um software antivírus, como o Avast Free Antivirus, para detectar e impedir que o malware infecte os seus computadores. Além disso, Anh recomenda que os consumidores instalem o software diretamente da sua fonte, em vez de fazer a instalação via pop-ups exibidos enquanto navegam na web. Por fim, Anh aconselha os usuários a evitar salvar senhas no navegador. Uma alternativa boa e confiável para isso é o uso de um gerenciador de senhas seguro.

Para os proprietários de sites, Anh recomenda o uso de senhas fortes e exclusivas para proteger o CMS - WordPress e sites semelhantes usados para manter as páginas web. Além disso, o pesquisador de malware recomenda que os proprietários de sites verifiquem os logs de software em busca de qualquer atividade suspeita, incluindo alterações de arquivos, alterações em bancos de dados ou tentativas de login. Por fim, ele recomenda manter o software atualizado e usar um firewall de aplicativo web, o que pode ajudar a evitar que visitantes indesejados alterem o código do site. Manter o software atualizado ajuda a corrigir vulnerabilidades que podem ser exploradas para obter acesso, enquanto um firewall filtra o tráfego entre a internet e o aplicativo web, usado para executar o site.

Uma análise técnica completa do Chaes pode ser encontrada no blog Avast Decoded: https://decoded.avast.io/anhho/chasing-chaes-kill-chain/ 

###

Sobre a Avast:

A Avast (LSE: AVST) é uma empresa FTSE 100, líder global em privacidade e segurança digital, com sede em Praga, na República Tcheca. Com mais de 435 milhões de usuários online, a Avast oferece produtos sob as marcas Avast e AVG que protegem as pessoas contra ameaças na internet e o cenário de ameaças IoT em evolução. A rede de detecção de ameaças da companhia está entre as mais avançadas do mundo, usando aprendizado de máquina e tecnologias de inteligência artificial para detectar e interromper as ameaças em tempo real. Os produtos de segurança digital da Avast para dispositivos móveis, PC ou Mac estão no topo do ranking e são certificados pela VB100, AV-Comparatives, AV-Test, SE Labs e outros. A Avast é membro da Coalition Against Stalkerware, No More Ransom e Internet Watch Foundation. Visite: www.avast.com

Mantenha contato com a Avast:

*Pop-up solicitando que o visitante do site instale um aplicativo Java Runtime

**Janela falsa do instalador Java malicioso

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas