Hackers ganham dados de cartão de crédito por meio de extensão falsa do Chrome

Pesquisadores de segurança da Internet alertam os usuários da Internet desavisados ​​sobre uma extensão do Chrome que está ativa há um ano. Ele é usado por criminosos como uma ferramenta para roubar dados de cartão de crédito de usuários infectados através de formulários da web em sites visitados.

A extensão fraudulenta é espalhada através de ataques de injeção de JavaScript. Por exemplo, diga “Você não tem o Flash instalado, use essa extensão do Chrome” ou algo parecido. Se usuários desavisados ​​ou descuidados clicarem nesses links, eles serão automaticamente redirecionados para o malware.

Disponível desde fevereiro de 2018, a extensão usa a funcionalidade API (Application Programming Interface) em sites, interrompendo o handshake digital entre o usuário e o site quando uma solicitação HTTP é feita, como clicar em um link ou enviar um formulário , Ele não pode ser encontrado por uma pesquisa regular e, em vez disso, só é propagado compartilhando ou compartilhando um link.

A extensão criada pelo hacker fbsgang.info aparece como um “Flash Reader” e integra uma função em cada site visitado pelo respectivo usuário.

Sempre que reconhece esse número de um cartão que é inserido em um determinado assunto para os formatos de cartão Visa, MasterCard, American Express ou formulário web Descoberta, ele automaticamente redireciona-los através de pedido de AJAX para o atacante ainda (essencialmente uma mensagem diretamente para o servidor comunica sem interromper a exibição ou o comportamento normal do site ativo).

As informações roubadas incluem o número do cartão, o nome do banco emissor, a data de vencimento e o código CVV / CVC.

A boa notícia é que a infecção não é generalizada, pois apenas 400 instalações foram detectadas, o que significa que seu alcance é limitado.

O Google foi alertado no início do ano passado pela empresa de segurança on-line ElevenPaths, mas a extensão ilegal ainda existia na loja virtual até recentemente. O servidor usado pelo operador de malware está inativo no momento. No entanto, pode ser uma medida temporária enquanto o grupo está sob vigilância ou enquanto prepara outro servidor para o qual ele pode redirecionar usuários desavisados.

Também pode ser um precursor de uma operação muito maior.

Fonte Deutsch