Foi identificado que um conjunto de cinco extensões criminosas para o Google Chrome era parte de um esquema fraudulento de pagamentos a afiliados em diversas plataformas internacionais de e-commerce, elas acumulam mais de 1,4 milhões de downloads. Tais plug-ins se passavam por utilitários, ou ferramentas para sessões de grupos da Netflix ou até mesmo rastreadores de preços para acompanhar o usuário e com isso inserir de forma fraudulenta códigos de associação, isso acontecia sempre que era detectadas as compras em site compatíveis.
Alem disso as extensões também era capazes de registrar o histórico de navegação dos usuários, e com isso gerando a possibilidade de mais golpes serem aplicados contra eles. Analistas de ameaça da empresa McAfee, realizaram o alerta sobre a campanha criminosa e fizeram a divulgação dos softwares:
- Netflix Party (800 mil downloads);
- Netflix Party 2 (300 mil instalações);
- Full Page Screenshot Capture – Screenshotting (200 mil downloads);
- FlipShope – Price Tracker Extension (80 mil instalações);
- AutoBuy Flash Sales (20 mil downloads).
De acordo com os pesquisadores, todos esses plug-ins possuem comportamento semelhantes, o que indica que fazem parte de uma mesma investida e que também foram desenvolvidos juntos. Com isso a partir de um script em Java, as URLs usadas pelo usuário são compartilhadas com um servidor cujo o controles está obviamente com os criminosos envolvidos, assim como os dados de geolocalização. Eles possui também a estratégia em alguns caso de permanecer “inativos” ou “dormentes” por algum tempo, para driblar a detecção, antes de iniciar a ação.
Assim quando o endereço digitado é condizente com um site de e-commerce no qual o criminoso tem ligação, a propria extensão pode incluir o código de afiliado à URL, ou também substituir o cookie de acesso por um que contenha as informações, e com isso vão poder receber comissões pela compra realizada pelo usuário sem que seja percebido.
Infelizmente dessas cinco extensões identificadas pela McAfee, duas ainda estão no ar na loja oficial do Google para o navegador Chrome, os usuários que realizaram as instalação antes da remoção da loja seguem em risco e devem deletar de forma imediata e com isso cessar a conexão fraudulenta. É extremamente importante manter a atenção e a gestão do que é utilizados principalmente em ambiente corporativo, dando preferência a soluções conhecidas e de desenvolvedores conceituados, observar a classificação, comentários, e histórico de fraudes em pesquisas. Mas como gestor de uma ambiente de TI não é possível contar sempre ou somente com o conhecimento do usuário, que muitas vezes não possui o nível de maturidade de segurança para ambientes tecnológicos, ficando a cargo dos gestores provisionar formas de proteger o ambiente adotando políticas internas e contando com soluções que possam fazer “valer” a norma de utilização dos recursos de TI da empresa.
O Browser Security Plus da ManageEngine é uma ferramenta de gerenciamento de navegador corporativo que ajuda os administradores de TI a gerenciar e proteger navegadores em todas as redes. Ele permite que sejam aplicadas políticas de segurança, controle de extensões e plug-ins de navegadores, localizar e restringir navegadores corporativos e também garante a conformidade com configurações de navegador estipuladas para proteger suas redes contra ameaças.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
