Um novo relatório de segurança indica que o DroidClub Botnet recém-descoberto infecta alvos por meio de extensões de malware do Google Chrome. De acordo com a análise, o vírus já conseguiu infectar mais de meio milhão de usuários em todo o mundo por meio de várias instâncias que estão ativas no repositório de plugins oficial hospedado pelo Google. As infecções levam a consequências devastadoras, continue lendo para saber mais sobre a natureza da ameaça e como você pode se proteger de ataques recebidos.
Os ataques de botnet Droidclub se espalham por meio de extensões de malware do Google Chrome
Outro dia e outro ataque de malware foi relatado. Acabamos de receber relatórios de uma nova ameaça mundial chamada Droidclub Botnet, que está sendo rapidamente distribuída para alvos em todo o mundo. As campanhas em grande escala conseguiram infectar cerca de meio milhão de usuários de computador em um curto período, o que a torna uma das infecções mais mortais nas últimas semanas. No momento, o método principal depende da distribuição de plug-ins de malware para o Google Chrome. Essa é uma tática amplamente usada para sites de redirecionamento mais simples, onde o código também pode ser compatível com outros aplicativos: Mozilla Firefox, Safári, Ópera, Internet Explorer e Microsoft Edge por exemplo. Os criminosos por trás do ataque usam identidades de desenvolvedor falsificadas e avaliações de usuários falsas para aumentar a popularidade das entradas.
O relatório de segurança revela que no momento há um total de 89 entradas separadas encontrado na Chrome Web Store oficial. O Google os está removendo ativamente à medida que são relatados, no entanto, novas variantes podem ser facilmente criadas pelo grupo criminoso. Os servidores de comando e controle conhecidos também estão tendo o acesso negado pela rede de entrega de conteúdo Cloudflare.
Várias técnicas podem ser usadas para redirecionar os usuários para as extensões do navegador. Os criminosos podem optar por enviar mensagens de e-mail de spam que utilizam Engenharia social tática:
- hiperlinks - Os hackers podem inserir links nas mensagens que coagem as vítimas a instalar os plug-ins de malware.
- Anexos de arquivo - Os arquivos de configuração do plug-in de malware podem ser incorporados diretamente como anexos de arquivo.
- Scripts de documentos falsificados - Os criminosos podem optar por enviar documentos de malware de vários tipos (documentos de texto rico, planilhas e apresentações) que contêm scripts de malware. Assim que forem abertos pelos alvos pretendidos, aparece um prompt de notificação que pede às vítimas para habilitarem os comandos integrados. Se isso for feito, o malware é instalado automaticamente.
- Malware Software Instaladores - Este tipo de infecção depende de instaladores de software que são modificados para incluir o código do botnet Droidclub.
Um dos principais plug-ins de navegador que fizeram parte do esquema de distribuição é a extensão Croissant French Toast - clique aqui para saber como removê-lo.
Story relacionado: O Botnet Hide ’n Seek IoT usa P2P para dispositivos de destino
Comportamento de infecção do botnet Droidclub
Depois que o botnet Droidclub é instalado no navegador Google Chrome, ele começa a se comunicar com o comando e controle predefinidos (C&C) servidores para receber as definições de configuração de malware mais recentes. Em seguida, ele continua injetando scripts especiais nas páginas visualizadas. Pode ser usado para instituir vários tecnologias de monitoramento para coletar dados das vítimas. Existem dois tipos principais de dados que podem ser sequestrados pelos hackers:
- Anonymous Metrics - Este tipo de informação é composta principalmente por dados que são usados pelas operadoras para avaliar a eficácia da campanha. Exemplo de dados coletados inclui componentes de hardware, versão do sistema operacional, configurações regionais e configurações do navegador da web.
- Informação pessoalmente identificável - Os criminosos adquirem automaticamente um conjunto detalhado de dados da vítima que pode expô-los diretamente. Isso inclui seus nomes, preferências, endereço, número de telefone, credenciais da conta e senhas.
Como o botnet Droidclub injeta código automaticamente nas páginas da web ativas, eles também podem espionar todas as interações do usuário. Os analistas de segurança relatam que novas guias e pop-ups também são exibidos, exibindo anúncios e banners que geram receita para os operadores de hackers. Eles podem ser usados para redirecionar as vítimas a sites que hospedam malware e outros vírus.
Um perigoso também é instituído, o que gera renda para os operadores de hackers. As versões atuais utilizam o Mineiro Coinhive Monero.
Consequências das infecções de botnet Droidclub
O código de redirecionamento e os mineradores de criptomoedas representam apenas uma pequena parte do possível resultado do malware. Os criminosos podem utilizar o vírus para aumentar o tráfego para malware ou sites patrocinadores. Durante a intrusão inicial, o arquivo de configuração pode variar de acordo com os usuários e certas variáveis definidas como sua localização. Uma das razões pelas quais o módulo de coleta de informações é iniciado e um perfil completo dos usuários vítimas é criado é para otimizar a entrega de conteúdo publicitário. Os criminosos também podem tirar proveito dos scripts da web sequestrando automaticamente os dados do formulário à medida que são inseridos pelas vítimas. Como resultado, os criminosos podem interceptar seus dados de cartão bancário se qualquer pagamento online for feito.
O botnet Droidclub também é capaz de instalar kits de exploração. Eles testam o computador em busca de várias vulnerabilidades e, se alguma for encontrada, pode instituir outros vírus. Isso inclui ambos ransomware cepas que criptografam informações confidenciais e chantageiam as vítimas por uma taxa de descriptografia, assim como Trojans que permitem aos controladores espionar as vítimas em tempo real. Usando essas táticas, os hackers podem assumir o controle das máquinas a qualquer momento.
Infecções semelhantes podem ser usadas para recrutar os hospedeiros comprometidos em redes de botnet em todo o mundo. Eles são usados para lançar ataques distribuídos de negação de serviço contra alvos de alto perfil. Dependendo do caso, eles podem ser usados pelos hackers ou emprestados a terceiros mediante o pagamento de uma taxa.
Uma característica interessante do código de malware é o fato de que ele é instalado usando um estado persistente de execução. Se o plug-in detectar que os usuários desejam excluí-lo, eles serão redirecionados automaticamente para a página de introdução da extensão. Esta tática é usada para fazer a vítima pensar que removeu o plugin enquanto ao mesmo tempo permanece ativo.
É altamente recomendável que todos os usuários de computadores examinem seus sistemas em busca de infecções ativas, usando uma solução anti-spyware de qualidade.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter