Um anexo de e-mail leva à instalação de uma Chrome maliciosa Chrome . Os investigadores afirmam que esta faz parte de um Windows distribuído através de um e-mail de phishing. O malware aproveita-se Chrome Messaging para transferir o controlo do navegador para o sistema anfitrião. O seu truque mais notável não é a isca de phishing em si, mas a forma como utiliza Windows legítimas do navegador e Windows para executar o PowerShell e recolher dados, mantendo-se dentro dos fluxos de trabalho esperados.
O ataque começa com um anexo de e-mail disfarçado de ficheiro PDF. O ficheiro utiliza uma extensão enganosa .pfd.js parece um documento PDF, mas, na realidade, é um ficheiro JavaScript ofuscado que coloca ficheiros adicionais na pasta temporária e dá início ao resto da cadeia de infeção.
Como parte dessa cadeia, um script do PowerShell prepara uma Chrome e altera as definições Chrome para que a extensão possa ser instalada. O malware faz com que a instalação pareça ser uma implementação controlada por um administrador, em vez de uma instalação normal de uma extensão.
Uma vez ativada, a extensão e a sua aplicação complementar nativa recolhem cookies do navegador, separadores abertos, URLs, definições de idioma e dados de identificação. Os operadores também utilizam a configuração como um canal de comando remoto, enviando instruções que podem iniciar o PowerShell e enumerar o conteúdo do C: conduzir.
Com os cookies de sessão autenticados roubados, os atacantes podem sequestrar sessões ativas do navegador, em vez de se limitarem a roubar palavras-passe, o que lhes é mais útil, uma vez que lhes permite aceder a contas já iniciadas no navegador da vítima, contornando a autenticação multifator (MFA).
O aspeto mais interessante do ataque é a forma como se aproveita Chrome Messaging como ponte entre a sandbox do navegador e o sistema operativo. Chrome as extensões comuniquem com um anfitrião nativo registado, e os atacantes transformaram essa funcionalidade legítima numa arma para tornar a extensão num controlador para a execução de código local. A extensão não inicia o PowerShell diretamente. Em vez disso, envia mensagens para o anfitrião nativo, que, por sua vez, inicia ou interage com o PowerShell no sistema anfitrião.
Como se manter seguro
A primeira linha de defesa contra ataques deste tipo consiste em evitar abrir anexos de e-mail, a menos que seja possível verificar a identidade do remetente. Além disso:
- Verifique sempre a extensão real do ficheiro, em vez de se basear no nome do ficheiro apresentado.
- Utilize uma solução antimalware atualizada e em tempo real para detetar e bloquear atividades maliciosas.
- Verifique as Chrome instaladas no seu dispositivo e remova todas aquelas que não reconheça ou que já não utilize.
- Por uma questão de precaução adicional, saia das contas importantes quando terminar. Isso invalida a sua sessão, pelo que, mesmo que alguém tenha roubado o seu cookie de sessão, não poderá utilizá-lo para aceder à sua conta.
- Verifique regularmente o histórico de início de sessão das contas importantes. Muitos serviços online permitem-lhe ver quais os dispositivos que iniciaram sessão, quando e a partir de onde.
COIs
Anexo:
Fattura-2819889242.pfd.js (exibido como Fattura-26189991026.pdf)
Ficheiros maliciosos:
client_124578.exe
d3d11.dll
Chrome :
Nome: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Domínio:
ext2[.]info
Isto está bloqueado pelo Malwarebytes Browser Guard, a nossa extensão gratuita para o navegador que bloqueia anúncios, rastreadores, malware e muito mais.
![Browser Guard o ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
