Usuários do Firefox alvos de rara peça de malware

Pesquisadores da BitDefender descobriram um novo tipo de software malicioso que coleta senhas para sites bancários, mas tem como alvo apenas usuários do Firefox.

O malware, que o BitDefender apelidou de "Trojan.PWS.ChromeInject.A", está na pasta add-ons do Firefox. disse Viorel Canja, chefe do laboratório da BitDefender. O malware é executado quando o Firefox é iniciado.

O malware usa JavaScript para identificar mais de 100 sites financeiros e de transferência de dinheiro, incluindo o Barclays, o Wachovia, o Bank of America e o PayPal, além de duas dúzias de bancos italianos e espanhóis. Quando reconhece um site, ele coleta logins e senhas, encaminhando essas informações para um servidor na Rússia.

[Leia mais: Como remover malware do seu PC com Windows]

O Firefox vem ganhando continuamente participação de mercado Principal concorrente do Internet Explorer desde sua estréia há quatro anos, o que pode ser uma das razões pelas quais os autores de malware estão procurando novos caminhos para infectar computadores, disse Canja. Usuários podem ser infectados com o Trojan de um drive-by download, que pode infectar um PC explorando uma vulnerabilidade em um navegador ou sendo enganado para baixá-lo, disse Canja.

Quando é executado em um PC, ele se registra nos arquivos de sistema do Firefox como "Greasemonkey", uma coleção bem conhecida de scripts que adicionam funcionalidade extra a páginas da Web renderizadas pelo Firefox.

O BitDefender atualizou seus produtos para detectá-lo, e outros fornecedores provavelmente seguirão o mesmo caminho rapidamente, disse Canja. Os usuários poderiam evitá-lo apenas baixando um software assinado e verificado, mas essa é uma medida que restringe a usabilidade de um PC, disse ele.

O malware não está presente no repositório de complementos da Mozilla, disse Canja. A Mozilla tomou medidas para garantir que seu site oficial que hospeda add-ons - também chamado de extensões - esteja livre de malware.

Em maio, a Mozilla reconheceu que o pacote de idioma vietnamita para o Firefox continha um pouco de código indesejado. Embora amplamente divulgada como um vírus, a linguagem continha uma linha de código HTML que faria com que os usuários visualizassem anúncios indesejados.

A Mozilla agora verifica novos complementos de malware. No entanto, essas verificações só detectarão ameaças conhecidas, e não havia assinatura no software de segurança que a Mozilla estava usando no momento que poderia detectar o código.

A Mozilla disse que o código provavelmente acabou no pacote de idiomas após o PC de sua desenvolvedor foi infectado. Mais de 16.000 pessoas baixaram o pacote de idiomas, mas apenas cerca de 1.000 pessoas o usam regularmente.

Após o incidente, a Mozilla informou que examinaria complementos em seu repositório quando as assinaturas de antivírus fossem atualizadas.