Desde Novembro de 2011, de acordo com estatísticas recentes, o Google Chrome é o navegador mais popular no Brasil. Ele detém mais de 45% do mercado.
O mesmo aconteceu com o Facebook, que é hoje a rede social mais popular no Brasil, reunindo um total de 42 milhões de usuários, desbancando o Orkut.
Estes dois fatos são suficientes para motivar os cibercriminosos brasileiros a apontar seus ataques contra ambas as plataformas. Este mês nós vimos uma onda gigantesca de ataques contra usuários brasileiros do Facebook, baseado na distribuição de extensões maliciosas. Essas extensões podem ser instaladas em navegadores como o Chrome e o Firefox. Há diversos temas usados nesses golpes, tais como “Mude a cor do seu perfil” e “Descubra quem visitou seu perfil”. Há ainda outros ataques totalmente baseados na engenharia social, como o “Aprenda a tirar o vírus do seu Face”:
Este último golpe chamou nossa atenção não por pedir para que o usuário instale a extensão maliciosa – todos os golpes pedem isso, mas sim pelo fato da extensão maliciosa estar hospedada na loja oficial de extensões do Chrome, a Chrome Web Store. Se o usuário clicar em “Install aplicativo” ele será direcionado para a loja oficial do Chrome. A extensão maliciosa se apresenta usando o nome de “Adobe Flash Player”:
No momento em que encontramos essa extensão maliciosa na loja oficial do Chrome, ela tinha 923 usuários:
Depois de instalada, a extensão maliciosa pode controlar totalmente o perfil da vítima no Facebook, primeiramente baixando um arquivo de configuração:
Esse arquivo de configuração possui comandos para serem enviados para o perfil da vítima, como por exemplo o envio automático de mensagens para seus contatos, convidando-os a instalar a extensão maliciosa:
O script também possui comandos para usar o perfil da vítima para “Curtir” algumas páginas no Facebook. Por quê? Você descobrirá no final do artigo.
A Kaspersky foi a primeira companhia a bloquear essas extensões maliciosas, detectadas como Trojan.JS.Agent.bxo num ataque similar feito no dia 06 de Março. O número de usuários que foi infectado com a praga foi grande, especialmente no Brasil e em Portugal:
Nós reportamos essas extensões maliciosas para o Google, que rapidamente as removeu da loja oficial do Chrome. Porém nós notamos que os criminosos por trás do golpe enviaram novas extensões maliciosas regularmente, num jogo de gato e rato.
MONETIZAÇÃO
Talvez você esteja se perguntando: como é que o criminoso por trás desse golpe ganha dinheiro? É simples: como eles possuem controle sobre o perfil das vítimas que instalaram as extensões maliciosas, eles criaram um site chamado “PublicidadeOnLine.com” e nele passaram a vender para possíveis interessados pacotes de “Curtir” no Facebook. Os possíveis clientes poderiam ser empresas interessadas em promover seus perfis na rede social, ganhando vários fãs e assim ter maior visibilidade na rede:
Naturalmente, para vender o “Curtir” aos interessados, os criminosos usariam o perfil das vítimas que instalaram o aplicativo malicioso. Depois que o esquema malicioso foi tornado público, os criminosos removeram o site de vendas de “Curtir” do ar.
Seja cuidado quando estiver usando o Facebook. E pense duas vezes antes de instalar uma extensão em seu navegador.
(China)
(Japan)
(Korea)
