Notícias

Site falso do Office 365 envia o Trickbot Trojan como atualização do navegador

Os invasores criaram um site falso do Office 365 que está distribuindo o Trojan TrickBot que rouba senhas, disfarçado como atualizações do navegador Chrome e Firefox.

No teste do BleepingComputer, esse falso site do Office 365 encontrado pelo MalwareHunterTeam se  parece com qualquer site que normalmente pertence à Microsoft. Na verdade, todos os links apontam para páginas hospedadas em domínios da Microsoft.

Página do Office 365 falsa
Página do Office 365 falsa

Se você esperar alguns segundos, o site apresentará um alerta informando que seu navegador precisa ser atualizado. Esse alerta é um pouco diferente para os usuários do Chrome e do Firefox.

Por exemplo, ao usar o Google Chrome para visitar a página, ele exibirá um alerta intitulado “Central de atualizações do Chrome” e indicará que você está usando uma versão mais antiga do Google Chrome que pode levar à perda de dados e erros do navegador.

Atualização falsa do Chrome
Atualização falsa do Chrome

Da mesma forma, os usuários do Firefox verão um alerta intitulado “Centro de Atualizações do Firefox” que informa que você precisa atualizar o navegador.

Atualização falsa do Firefox
Atualização falsa do Firefox

Se você clicar no botão Atualizar, será baixado um executável chamado upd365_58v01.exe que instalará o cavalo de Tróia TrickBot no computador. Quando executado, o cavalo de Tróia será injetado em um processo svchost.exe, portanto, não fica imediatamente visível ou suspeito no Gerenciador de Tarefas.

DLL injetada em svchost.exe
DLL injetada em svchost.exe

Em seguida, ele começará a se comunicar imediatamente com o servidor C2, onde executará vários módulos. Por exemplo, o systeminfo64 carregará informações sobre o computador, os programas instalados e os serviços do Windows da vítima.

Mais preocupante, no entanto, é que você pode ver que ele inicia seu módulo pwgrab64, que procura e rouba credenciais de login, histórico de navegação, informações de preenchimento automático de formulários e muito mais.

Comunicação de rede TrickBot

Se você visitou esta página e instalou a “atualização” oferecida, deverá executar imediatamente as verificações de segurança do seu computador. Em outro computador, também é aconselhável alterar as senhas para as contas que você costuma usar ou salvar no seu navegador.

Como sempre, nunca instale atualizações do navegador que emitem alertas informando que você precisa fazer isso. Em vez disso, instale-os somente quando oferecidos diretamente pelo recurso de atualização automática do navegador ou ao fazer o download diretamente do site do desenvolvedor do navegador.

Fonte

Mais Lidas

To Top