O levantamento analisou diversas extensões maliciosas do navegador Google Chrome e quais são as táticas mais adotadas pelos cibercriminosos, que utilizam amostras de malwares do próprio Facebook. Um dos mais destacados pelo estudo foi o “BREX_KILIM.LL”, que se disfarça de plugin para infectar os computadores dos internautas mais incautos.

Funciona assim: quando o usuário abre uma aba para checar as extensões do navegador e verificar se existem possíveis ameaças nesses programas, o plugin fecha a janela imediatamente e impede o acesso a sites e outros serviços que oferecem proteção antivírus. Além disso, ele remove a opção de segurança de cabeçalho de resposta HTTP, que costuma evitar ataques de script entre páginas da web.

No caso do Facebook, o plugin executa um código JavaScript na aba na qual o site está aberto. A partir daí, os crackers têm controle total sobre as contas dos usuários que, sem ter como se defender, irão seguir, curtir ou começar a seguir fan pages da rede social controladas pelos cibercriminosos. Os comandos são executados automaticamente pelo código JavaScript incluso e os amigos dos usuários afetados também podem ter suas máquinas invadidas, uma vez que as ações (curtidas, seguidas etc) irão aparecer no feed de notícias. Ou seja, eles podem, eventualmente ou inadvertidamente, instalar o plugin.

Para se proteger dessas ameaças, a Trend Micro recomenda que o usuário não instale extensões desconhecidas ou até mesmo aquelas que são compartilhadas por amigos no Facebook. Se suspeitar que seu PC foi invadido, a recomendação é relatar o problema ao Google, remover a suposta ferramenta maliciosa e reiniciar o navegador.