Recentemente, nós mostramos que um relatório divulgado pela empresa de segurança TrendMicro trouxe a informação de que cibercriminosos estão usando extensões do Google Chrome para roubar credenciais do Facebook. Agora, colaborando para o alerta, a empresa Radware divulgou novas informações sobre esse golpe.

De acordo com a companhia, o golpe é disseminado por meio de links no Facebook que levam as vítimas a baixar extensões maliciosas para o Google Chrome. Ao clicar no link, o usuário é levado a uma página falsa que copia a aparência do YouTube, mas que exige o download da extensão infectada para executar o vídeo.

Segundo dados da Radware, esse golpe já fez vítimas em 10 países diferentes e afetou cerca de 100 mil pessoas. Os três lugares que mais tiveram vítimas foram Filipinas, Venezuela e Equador. Juntos, eles concentram cerca de 75% dos usuários que caíram no golpe.

A Radware ainda explica que os cibercriminosos conseguem burlar a Chrome Web Store publicando extensões que se passam por verdadeiras, mas que possuem um código extra que acaba sendo responsável pelo golpe. Essas extensões infectadas conseguem efetuar as seguintes ações:

• Roubar senhas de acesso ao Facebook/Instagram;
• Publicar e enviar mensagens no Facebook/Instagram (o que é usado para atrair novas vítimas);
• Mineração de criptomoeda, o que gera lucro para os invasores;
• "Assistir" a vídeos no YouTube (de forma invisível) ou inscrever a vítima em canais sem autorização;
• Redirecionar o navegador para abrir páginas específicas.

Ainda de acordo com o que foi revelado, o golpe se baseia na extensão legítima Nigelify e por isso recebeu o nome de "Nigelthorn". Por enquanto, as extensões já foram removidas da Chrome Web Store. No entanto, é sempre bom ter cuidado com quais extensões você vai instalar em seu navegador.