5 extensões do Chrome usadas em golpes de pagamentos acumulam 1,4 mi downloads

Um conjunto de cinco extensões maliciosas para o Google Chrome era parte de um esquema para fraudar pagamentos a afiliados em diferentes plataformas internacionais de e-commerce, com mais de 1,4 milhão de downloads acumulados. Os plug-ins se disfarçavam de utilitários, ferramentas para sessões em grupo da Netflix ou rastreadores de preços para acompanhar o usuário, inserindo de forma fraudulenta códigos de associação sempre que detectavam compras em sites compatíveis.

• Conheça principais ameaças em navegadores e como se proteger
• Quatro métodos usados por vírus para escapar de softwares de segurança

As extensões também podiam registrar o histórico de navegação dos usuários, levando à possibilidade de mais golpes contra eles. De acordo com os analistas de ameaça da empresa de segurança McAfee, que alertam sobre a campanha, os softwares são os seguintes:

• Netflix Party (800 mil downloads);
• Netflix Party 2 (300 mil instalações);
• Full Page Screenshot Capture – Screenshotting (200 mil downloads);
• FlipShope – Price Tracker Extension (80 mil instalações);
• AutoBuy Flash Sales (20 mil downloads).

Segundo os pesquisadores, todos os plug-ins exibem comportamento semelhante, um indicativo de que fazem parte de uma mesma campanha e foram desenvolvidos juntos. A partir de um script em Java, todas as URLs acessadas pelo usuário são compartilhadas com um servidor sob o comando dos bandidos, bem como dados de geolocalização. Em alguns casos, a campanha permaneceu dormente por 15 dias para escapar de detecção antes de começar a agir.

Quando o endereço bate com um site de e-commerce com o qual o bandido tem afiliação, a extensão fraudulenta pode adicionar um código de afiliado à URL ou, então, substituir o cookie de acesso por um que contém tais informações. Assim, apontam os especialistas, os responsáveis pela fraude podem receber comissões pela compra realizada pelo usuário sem que ele perceba.

Das cinco extensões maliciosas flagradas pela McAfee, duas permanecem no ar na loja oficial do Google para o navegador Chrome. Além disso, os usuários que as instalaram antes da remoção seguem em risco e devem deletar os plug-ins imediatamente, de forma a interromper o comportamento malicioso.

Como recomendação geral de segurança, os usuários devem ficar atentos aos plug-ins baixados para navegadores, preferindo soluções conhecidas e de desenvolvedores conceituados. Vale a pena observar comentários de usuários e também pesquisar em motores de busca, que devem exibir reportagens como esta em caso de ameaças relacionadas aos softwares.

Fonte: McAfee