A Diebold Nixdorf acaba de identificar um novo ataque que já registrou mais de duas mil instalações no país. Os especialistas da companhia detectaram a ameaça durante o constante monitoramento de ciberataques realizado pela equipe de Pesquisa e Combate à Fraude.
Uma extensão desenvolvida para o navegador Google Chrome, utilizando uma técnica conhecida denominada Session Hijacking, foi identificada e nomeada como FlashUpdate-2019. Após análise comportamental, engenharia reversa do artefato e reprodução do ataque em ambiente controlado, foram confirmadas o roubo de informações sensíveis da autenticação do usuário.
Uma vez esta extensão instalada no navegador, durante o acesso a uma instituição financeira, e-commerce ou meios de pagamento, ela acompanha as ações do usuário aguardando a autenticação na aplicação alvo. Quando o usuário é autenticado, o fraudador, por meio da extensão, captura os cookies da sessão atualmente logada e reproduz a mesma em outro computador e/ou navegador, carregando a sessão previamente logada pelo usuário, sem a necessidade de um novo fator de autenticação passando desapercebido pela instituição alvo, caso seja necessário qualquer mecanismo de autenticação para a efetivação de uma transação, esta extensão solicita ao usuário para a conclusão da transação.
As instituições que estão vulneráveis a este tipo de técnica não identificarão que todas as transações efetuadas estarão sendo realizadas por uma pessoa que não foi a mesma que se logou na aplicação, tão pouco que houve o sequestro inteiro da sessão sem que qualquer mecanismo de autenticação fosse solicitado, como por exemplo o usuário/e-mail/conta e a senha.
