🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha de phishing está usando uma página de segurança falsa da Conta do Google para fornecer um aplicativo baseado na web capaz de roubar senhas de uso único, coletar endereços de carteiras de criptomoedas e fazer proxy do tráfego do invasor por meio dos navegadores das vítimas.
O ataque aproveita os recursos do Progressive Web App (PWA) e a engenharia social para enganar os usuários, fazendo-os acreditar que estão interagindo com uma página legítima do Google Security e instalando inadvertidamente o malware.
Os PWAs são executados no navegador e podem ser instalados a partir de um site, assim como um aplicativo normal independente, que é exibido em sua própria janela sem nenhum controle visível do navegador.
O navegador da vítima se torna o proxy do invasor
A campanha conta com engenharia social para obter as permissões necessárias do usuário sob o pretexto de uma verificação de segurança e maior proteção dos dispositivos.
Os cibercriminosos usam o domínio google-prism[.]com, que se apresenta como um serviço legítimo relacionado à segurança do Google, mostrando um processo de configuração de quatro etapas que inclui conceder permissões arriscadas e instalar um aplicativo PWA malicioso. Em alguns casos, o site também promoverá um aplicativo Android complementar para “proteger” os contatos.
De acordo com pesquisadores da empresa de segurança cibernética Malwarebytes, o aplicativo PWA pode exfiltrar contatos, dados de GPS em tempo real e conteúdo da área de transferência.
As funcionalidades adicionais observadas incluem atuar como proxy de rede e scanner de porta interna, o que permite ao invasor rotear solicitações através do navegador da vítima e identificar hosts ativos na rede.
O site também solicita permissões de acesso a textos e imagens copiados para a área de transferência, o que pode ocorrer apenas quando o app está aberto.
Site falso de segurança do Google solicitando acesso à área de transferênciafonte: BleepingComputer
No entanto, o site falso também pede permissão para mostrar notificações, o que permite ao invasor enviar alertas, novas tarefas ou acionar a exfiltração de dados.
Além disso, o malware usa a API WebOTP em navegadores compatíveis na tentativa de interceptar códigos de verificação de SMS e verifica /api/heartbeat a cada 30 segundos em busca de novos comandos.
Como o aplicativo PWA só pode roubar o conteúdo da área de transferência e dos códigos OTP quando está aberto, as notificações podem ser usadas para enviar alertas de segurança falsos que solicitam ao usuário que abra o PWA novamente.
Site falso de segurança do Google pede permissões de notificaçõesfonte: BleepingComputer
A Malwarebytes afirma que o foco está no roubo de senhas de uso único (OTP) e endereços de carteiras de criptomoedas, e que o malware também “cria uma impressão digital detalhada do dispositivo”.
Outro componente do PWA malicioso é um trabalhador de serviço responsável por notificações push, executando tarefas de cargas recebidas e preparando dados roubados localmente para exfiltração.
Os pesquisadores afirmam que o componente mais preocupante é o relé WebSocket, que permite ao invasor passar solicitações da web através do navegador como se estivessem na rede da vítima.
“O malware atua como um proxy HTTP, executando solicitações de busca com qualquer método, cabeçalhos, credenciais e corpo especificado pelo invasor e, em seguida, retorna a resposta completa, incluindo cabeçalhos” - Malwarebytes
Como o trabalhador inclui um manipulador para sincronização periódica em segundo plano, que permite que aplicativos da web em navegadores baseados em Chromium sincronizem dados periodicamente em segundo plano, o invasor pode se conectar a um dispositivo comprometido enquanto o aplicativo PWA malicioso estiver instalado.
Companheiro de malware para Android
Os usuários que optarem por ativar todos os recursos de segurança de sua conta também receberão um arquivo APK para seus dispositivos Android que promete estender a proteção à lista de contatos.
Fake security checkssource: BleepingComputer
A carga útil é descrita como uma “atualização crítica de segurança”, afirma ser verificada pelo Google e requer 33 permissões que incluem acesso a textos SMS, registros de chamadas, microfone, contatos e serviço de acessibilidade.
Somente essas são permissões de alto risco que permitem roubo de dados, comprometimento total do dispositivo e fraude financeira.
O arquivo APK malicioso inclui vários componentes, como um teclado personalizado para capturar as teclas digitadas, um ouvinte de notificação para acesso às notificações recebidas e um serviço para interceptar credenciais preenchidas automaticamente.
“Para aumentar a persistência, o APK se registra como administrador do dispositivo (o que pode complicar a desinstalação), define um receptor de inicialização para ser executado na inicialização e programa alarmes destinados a reiniciar componentes se encerrados”, dizem os pesquisadores.
O Malwarebytes observou componentes que poderiam ser usados para ataques baseados em sobreposição, o que indica planos para potencial phishing de credenciais em determinados aplicativos.
Ao combinar recursos legítimos de navegador com engenharia social, o invasor não precisa explorar nenhuma vulnerabilidade. Em vez disso, eles enganam a vítima para que forneça todas as permissões necessárias para que ocorram atividades maliciosas.
O ataque aproveita os recursos do Progressive Web App (PWA) e a engenharia social para enganar os usuários, fazendo-os acreditar que estão interagindo com uma página legítima do Google Security e instalando inadvertidamente o malware.
Os PWAs são executados no navegador e podem ser instalados a partir de um site, assim como um aplicativo normal independente, que é exibido em sua própria janela sem nenhum controle visível do navegador.
O navegador da vítima se torna o proxy do invasor
A campanha conta com engenharia social para obter as permissões necessárias do usuário sob o pretexto de uma verificação de segurança e maior proteção dos dispositivos.
Os cibercriminosos usam o domínio google-prism[.]com, que se apresenta como um serviço legítimo relacionado à segurança do Google, mostrando um processo de configuração de quatro etapas que inclui conceder permissões arriscadas e instalar um aplicativo PWA malicioso. Em alguns casos, o site também promoverá um aplicativo Android complementar para “proteger” os contatos.
De acordo com pesquisadores da empresa de segurança cibernética Malwarebytes, o aplicativo PWA pode exfiltrar contatos, dados de GPS em tempo real e conteúdo da área de transferência.
As funcionalidades adicionais observadas incluem atuar como proxy de rede e scanner de porta interna, o que permite ao invasor rotear solicitações através do navegador da vítima e identificar hosts ativos na rede.
O site também solicita permissões de acesso a textos e imagens copiados para a área de transferência, o que pode ocorrer apenas quando o app está aberto.
Site falso de segurança do Google solicitando acesso à área de transferênciafonte: BleepingComputer
No entanto, o site falso também pede permissão para mostrar notificações, o que permite ao invasor enviar alertas, novas tarefas ou acionar a exfiltração de dados.
Além disso, o malware usa a API WebOTP em navegadores compatíveis na tentativa de interceptar códigos de verificação de SMS e verifica /api/heartbeat a cada 30 segundos em busca de novos comandos.
Como o aplicativo PWA só pode roubar o conteúdo da área de transferência e dos códigos OTP quando está aberto, as notificações podem ser usadas para enviar alertas de segurança falsos que solicitam ao usuário que abra o PWA novamente.
Site falso de segurança do Google pede permissões de notificaçõesfonte: BleepingComputer
A Malwarebytes afirma que o foco está no roubo de senhas de uso único (OTP) e endereços de carteiras de criptomoedas, e que o malware também “cria uma impressão digital detalhada do dispositivo”.
Outro componente do PWA malicioso é um trabalhador de serviço responsável por notificações push, executando tarefas de cargas recebidas e preparando dados roubados localmente para exfiltração.
Os pesquisadores afirmam que o componente mais preocupante é o relé WebSocket, que permite ao invasor passar solicitações da web através do navegador como se estivessem na rede da vítima.
“O malware atua como um proxy HTTP, executando solicitações de busca com qualquer método, cabeçalhos, credenciais e corpo especificado pelo invasor e, em seguida, retorna a resposta completa, incluindo cabeçalhos” - Malwarebytes
Como o trabalhador inclui um manipulador para sincronização periódica em segundo plano, que permite que aplicativos da web em navegadores baseados em Chromium sincronizem dados periodicamente em segundo plano, o invasor pode se conectar a um dispositivo comprometido enquanto o aplicativo PWA malicioso estiver instalado.
Companheiro de malware para Android
Os usuários que optarem por ativar todos os recursos de segurança de sua conta também receberão um arquivo APK para seus dispositivos Android que promete estender a proteção à lista de contatos.
Fake security checkssource: BleepingComputer
A carga útil é descrita como uma “atualização crítica de segurança”, afirma ser verificada pelo Google e requer 33 permissões que incluem acesso a textos SMS, registros de chamadas, microfone, contatos e serviço de acessibilidade.
Somente essas são permissões de alto risco que permitem roubo de dados, comprometimento total do dispositivo e fraude financeira.
O arquivo APK malicioso inclui vários componentes, como um teclado personalizado para capturar as teclas digitadas, um ouvinte de notificação para acesso às notificações recebidas e um serviço para interceptar credenciais preenchidas automaticamente.
“Para aumentar a persistência, o APK se registra como administrador do dispositivo (o que pode complicar a desinstalação), define um receptor de inicialização para ser executado na inicialização e programa alarmes destinados a reiniciar componentes se encerrados”, dizem os pesquisadores.
O Malwarebytes observou componentes que poderiam ser usados para ataques baseados em sobreposição, o que indica planos para potencial phishing de credenciais em determinados aplicativos.
Ao combinar recursos legítimos de navegador com engenharia social, o invasor não precisa explorar nenhuma vulnerabilidade. Em vez disso, eles enganam a vítima para que forneça todas as permissões necessárias para que ocorram atividades maliciosas.
#samirnews #samir #news #boletimtec #site #falso #de #segurança #do #google #usa #aplicativo #pwa #para #roubar #credenciais #e #códigos #mfa
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário