O aumento nas atividades criminosas do Chaes, trojan bancário que mira exclusivamente usuários do Brasil, levou a um total de mais de 66 mil detecções somente no quarto trimestre de 2021. A praga é distribuída a partir de sites comprometidos, rodando a plataforma WordPress, e tem como alvo usuários de instituições como Caixa, Mercado Livre e Mercado Pago, além de adeptos das criptomoedas
O Trojan Chaes atua a partir do comprometimento do Google Chrome, obtendo credenciais salvas no navegador e também interceptando os dados digitados pelos usuários no acesso a plataformas que sejam de interesse dos criminosos.
De acordo com o relatório dos especialistas, mais de 800 sites são usados para distribuir o Chaes, sendo 700 deles com a extensão .br, evidenciando ainda mais o foco nos brasileiros. Ao acessar uma página comprometida, a possível vítima vê um alerta de falsa atualização do Java, que entrega um instalador com aparência legítima e traduzido para o português, comprometendo computadores com o sistema operacional Windows.
Credenciais salvas no Chrome são enviadas aos criminosos, assim como o histórico de navegação e dados dos perfis de usuários cadastrados. Além disso, o trojan permanece analisando o sistema, principalmente, de olho no acesso aos sites citados, que também podem ser acessados em segundo plano pelo malware, que possui a capacidade de abrir abas e testar automaticamente as combinações obtidas para ganhar acesso a sistemas financeiros a partir da máquina da vítima.
Pelo menos cinco extensões maliciosas — Online, Mtps4, Chrolog, Chronodx e Chremows — estariam sendo entregues como parte da campanha maliciosa, que segue em andamento. Os especialistas disseram ter informado ao CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) e permanece acompanhando o aumento nas atividades, ainda que um número exato de vítimas não tenha sido divulgado.
O uso de softwares de segurança é capaz de impedir atividades criminosas como esta. Além disso, ignorar notificações suspeitas ou que apareçam aleatoriamente em sites também é um caminho para evitar o download de soluções maliciosas, enquanto atualizações e instalações de softwares somente devem ser feitas a partir de sites legítimos e reconhecidos.
Fonte: Canaltech