In Brazilië zijn verschillende bedrijven het doelwit geworden van criminelen die medewerkers een kwaadaardige extensie voor Google Chrome lieten installeren waarmee gegevens voor internetbankieren konden worden onderschept. De criminelen hadden via sociale netwerken hooggeplaatste financiële managers van de bedrijven in kaart gebracht. Vervolgens werden deze managers gebeld, waarbij de criminelen zich voordeden als bankmedewerker.

De criminelen stelden dat de manager een nieuwe versie van de beveiligingsmodule van de bank moest installeren. Als dit niet meteen werd gedaan zou het bedrijf de toegang tot de bankrekening kunnen verliezen. Slachtoffers kregen vervolgens het adres van de website te horen waar de zogenaamde module kon worden gedownload. De downloadknop op deze website leidde naar een extensie in de officiële Chrome Web Store met de naam "Interface Online". De extensie was gemaakt door een ontwikkelaar met de naam "Internet Security Online".

Zodra het slachtoffer de extensie had geïnstalleerd vroegen de criminelen om de toegang tot de bankrekening te testen. Op dit moment werden de inloggegevens via de kwaadaardige extensie onderschept. Door deze gerichte aanpak wisten de aanvallers en hun malware onder de radar te blijven. Geen enkele virusscanner op VirusTotal herkende de malware, zo meldt Renato Marinho, handler bij het Internet Storm Center. Na te zijn ingelicht heeft Google de extensie verwijderd, die op dat moment minimaal 30 keer was gedownload, zo laat Threatpost weten.