Esta manobra do PowerPoint pode ajudar os hackers a esvaziar sua conta bancária

gurinho

Um hacker digitando em um laptop Apple MacBook, que mostra o código em sua tela.

Com várias ameaças de segurança cibernética em constante aumento, certamente parece que malwares perigosos estão em cada esquina. Desta vez, ele apareceu em apresentações de PowerPoint disfarçadas de guias úteis sobre como se proteger contra phishing. A ironia de tudo isso é forte, mas a pior parte é que esse malware pode ajudar os invasores a esvaziar sua conta bancária.

Estamos falando sobre a extensão do navegador Rilide Stealer Chrome, que tem circulado ultimamente, conforme relatado por Bleeping Computer . Infelizmente, o Rilide está prontamente disponível para os criminosos, pois é vendido por US$ 5.000 para os cibercriminosos, o que significa que pode ser distribuído de várias maneiras. As extensões do Chrome são apenas uma coisa, embora pareça ser a principal fonte do malware no momento. A extensão funciona em todos os navegadores baseados no Chromium, portanto, não é apenas o Google Chrome, mas também o Brave, o Microsoft Edge e o Opera.

Para que o malware funcione, os usuários precisam primeiro baixar essa extensão e, para isso, os cibercriminosos continuam encontrando novas maneiras de enganar as pessoas para que caiam em seus golpes. Mais recentemente, Rilide foi encontrado em e-mails de phishing que fingem ser produtos legítimos de VPN e firewall. Nesses e-mails, os hackers falam sobre várias possíveis ameaças que os usuários podem encontrar online e oferecem “orientações” sobre como evitá-las, alegando que a extensão pode ajudar.

Quem acredita no conteúdo da apresentação está direcionado para um guia de como adicionar essa extensão ao Chrome. Os links levam diretamente ao malware e, a partir daí, a extensão pode ajudar os invasores a roubar credenciais de login, contas bancárias e criptomoedas armazenadas em carteiras digitais. O Rilide usa scripts de injeção para fazer isso e funciona com várias carteiras criptográficas, provedores de pagamento, bancos e serviços de e-mail diferentes.

Captura de tela de uma apresentação do PowerPoint de phishing.

Rilide também conta com o uso de domínios de typosquatting para enganar as pessoas. Também conhecido como sequestro de URL, essa é uma tática de crime cibernético que ataca os usuários que digitam erroneamente o endereço do site errado. Por exemplo, o usuário pode digitar “Gooogle.com” em vez de “Google.com”. Se o endereço for reivindicado por um agente de ameaça, a pessoa verá um site que cuidadosamente se faz passar por vários bancos e provedores de serviços de pagamento. Depois de inserir as credenciais da conta, é provável que a conta seja invadida.

Os pesquisadores encontraram mais de 1.500 desses domínios. Alguns deles foram impulsionados pelo envenenamento de SEO para uma classificação mais alta nos mecanismos de pesquisa populares. Além disso, os golpistas também acessaram o Twitter – ou melhor, X – para convencer as pessoas a experimentar a extensão.

A parte mais curiosa do Rilide é que ele parece ignorar o Chrome Extension Manifest V3. Esse conjunto de restrições destinava-se a proteger os usuários do download de extensões maliciosas, mas, infelizmente, o Rilide conseguiu passar pelas defesas.

No que diz respeito ao malware, o Rilide é bastante assustador. Isso não apenas pode ajudar os hackers a esvaziar sua conta bancária, mas também pode atingir de vários ângulos diferentes devido ao fato de estar sendo atualizado e vendido ativamente para agentes de ameaças. Se você quiser ficar seguro, siga a regra de ouro usual: nunca abra links de fontes nas quais você não confia e não baixe nenhuma extensão de navegador que não pareça confiável.

Felizmente, parece que o Rilide é amplamente direcionado para usuários corporativos e proprietários de criptomoedas, mas você ainda deve ficar atento a quaisquer extensões suspeitas.