Desde novembro de 2011, de acordo com estatísticas recentes, o Google Chrome é o navegador mais popular no Brasil. Ele detém mais de 45% do mercado. O mesmo aconteceu com o Facebook, que é hoje a rede social mais popular no Brasil, reunindo um total de 37 milhões de usuários no Brasil, desbancando o Orkut.
Estes dois fatos são suficientes para motivar os cibercriminosos brasileiros a apontar seus ataques contra ambas as plataformas. Este mês nós vimos uma onda gigantesca de ataques contra usuários brasileiros do Facebook, baseado na distribuição de extensões maliciosas para os navegadores Chrome e Firefox. Os principais chamarizes desse tipo de golpe são “Mude a cor do seu perfil”, “Descubra quem visitou seu perfil” e ataques de engenharia social, como “Aprenda a tirar o vírus do seu Face”.
Este último golpe chamou atenção não por pedir para que o usuário instale a extensão maliciosa – todos os golpes pedem isso, mas sim pelo fato da extensão maliciosa estar hospedada na loja oficial do Google Chrome, a Chrome Web Store. Se o usuário clicar em “Install aplicativo” ele será direcionado para a loja oficial do Chrome. A extensão maliciosa se apresenta usando o nome de “Adobe Flash Player”.
No momento em que essa extensão maliciosa foi encontrada pela Kaspersky na loja oficial do Chrome, ela tinha 923 usuários infectados.
Depois de instalada, a extensão maliciosa pode controlar totalmente o perfil da vítima no Facebook, podendo enviar mensagens automáticas para os contatos da vítima, convidando as pessoas a instalarem a extensão maliciosa, ou comandou para “Curtir” algumas páginas no Facebook.
A Kaspersky foi a primeira companhia a bloquear essas extensões maliciosas, detectadas como Trojan.JS.Agent.bxo num ataque similar feito no dia 06 de Março. O número de usuários que foi infectado com a praga foi grande, especialmente no Brasil e em Portugal.
As extensões maliciosas foram reportadas ao Google pela Kaspersky Lab e rapidamente foram removidas da loja oficial do Chrome. Porém, os criminosos por trás do golpe continuam enviando novas extensões maliciosas, num jogo de gato e rato.
SERVIÇO DE “PAY-PER-LIKE”
Como o criminoso por trás desse golpe ganha dinheiro? É simples. Com o controle sobre o perfil das vítimas das extensões maliciosas, ele criou um site chamado “PublicidadeOnLine.com” e passou a vender pacotes de “Curtir”. Os possíveis clientes poderiam ser empresas interessadas em promover seus perfis na rede social, ganhando vários fãs e assim tendo maior visibilidade.
Naturalmente, para vender o “Curtir” aos interessados, os criminosos usariam o perfil das vítimas dos aplicativos maliciosos. O pacote mais simples, que dava direito a 1.000 “Likes”, custava R$ 50,00, e o mais caro era vendido a R$ 3.990,00 e dava direito a 100.000 “Curtis”.
O cibercriminoso ainda oferecia o mesmo tipo de serviço para o Twitter, porém os combos comercializados eram referentes a novos seguidores e eram vendidos entre R$ 25,00 e R$ 2.300,00. Depois que o esquema malicioso foi tornado público, os criminosos removeram o site do ar.
