Nota: O seguinte artigo irá ajudá-lo com: Ameaça de extensão do navegador atinge milhões de usuários
Mais e mais serviços estão disponíveis online sem nenhum cliente de software adicional. O segredo é que todos eles rodam diretamente dentro dos navegadores da Internet. Esses navegadores também se adaptaram ao longo do tempo, oferecendo a possibilidade de adicionar extensões, para milhares de finalidades diferentes. No entanto, os cibercriminosos já se aproveitam dessa situação há vários anos e isso não vai parar. A Kaspersky divulgou um novo relatório sobre essa ameaça específica.
Downloads de extensões do navegador
As extensões do navegador, também chamadas de complementos, são baixadas principalmente de mercados oficiais ou repositórios de provedores de navegador, como a Chrome Web Store ou o site de complementos do Firefox. Essas plataformas geralmente têm processos para verificar se uma extensão é benigna ou pode ser uma forma de malware, mas alguns desenvolvedores de malware qualificados ainda podem contornar essas verificações. Em 2020, 106 extensões de navegador foram removidas da Chrome Web Store, sendo usadas para roubar dados de usuários, fazer capturas de tela ou até mesmo roubar informações de cartão de crédito de formulários da web.
No entanto, também acontece com bastante frequência que alguns desenvolvedores de complementos fornecem seu trabalho em seu próprio site e permitem o download e a instalação de seus complementos no navegador.
Extensões do navegador: os riscos
Mesmo sem falar em add-ons maliciosos, algumas extensões podem ser prejudiciais ao usuário, na medida em que coletam muitos dados das páginas da web que o usuário visita, permitindo fazer um perfil completo da pessoa que navega nos dados e possivelmente sabe muito sobre ele/ela. Esses dados podem ser compartilhados ou vendidos pelo desenvolvedor do complemento para anunciantes ou outros terceiros. Na pior das hipóteses, os dados não são anonimizados e vendidos brutos.
Outro risco reside no fato de que, uma vez instalado um complemento, ele pode ser atualizado sem exigir nenhuma ação do usuário final, o que significa que um complemento legítimo pode ser comprometido de repente e começar a espalhar malware, como aconteceu com o complemento CopyFish -sobre. Um desenvolvedor também pode desistir de desenvolver sua ferramenta e vendê-la ou entregá-la a outro desenvolvedor, que pode transformá-la em malware.
VEJO: Política de segurança de dispositivos móveis (TechRepublic Premium)
Estatísticas de complementos maliciosos
A Kaspersky analisou dados entre janeiro de 2020 e junho de 2022 e forneceu métricas sobre essa ameaça.
Desde 2020, eles bloquearam downloads de complementos maliciosos para 6.057.308 usuários, a maioria deles em 2020 (Figura A).
Figura A
Como pode ser visto no gráfico, o primeiro semestre de 2022 já atingiu quase o nível de todo o ano de 2021 e provavelmente aumentará na última parte do ano.
Cargas maliciosas
A ameaça mais comum que se espalha por meio de extensões do navegador é o adware, que consiste em ter um código dentro da extensão para mostrar anúncios indesejados no navegador enquanto o usuário navega em sites. Esses anúncios são enviados por programas de afiliados, em um esforço para atrair mais clientes em potencial para seus sites (Figura B).
Figura B
Os pesquisadores da Kaspersky indicam que o adware representa cerca de 70% de toda a ameaça de extensão do navegador.
A segunda ameaça mais difundida é o malware, a maioria dos malwares visa roubar credenciais, cookies e dados copiados para a área de transferência. Embora o principal uso desse tipo de malware seja roubar credenciais válidas de sites e dados de cartão de crédito, ele também pode ser usado para ciberespionagem. Entre 2020 e 2022, 2,6 milhões de usuários únicos encontraram tentativas de download de malware.
VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Exemplos de ameaças
A Kaspersky fornece vários exemplos de extensões maliciosas, duas delas realmente se destacando da massa.
Pesquisa na internet
O primeiro semestre de 2022 mostrou o WebSearch como a ameaça mais comum, atingindo 876.924 usuários únicos. A ameaça imita ferramentas para trabalhar com documentos, como conversores de arquivos .DOC para .PDF e fusões de documentos, entre outros.
Ele altera a página inicial do navegador do usuário, fornecendo links para recursos de terceiros. A transição para esses recursos é realizada por meio de links de afiliados. Conforme escrito por Kaspersky, “quanto mais os usuários seguem esses links, mais dinheiro os desenvolvedores de extensões ganham”.
O mecanismo de pesquisa padrão também é modificado para um que pode capturar consultas, coletá-las e analisá-las, a fim de promover sites de parceiros relevantes nos resultados da pesquisa (Figura C).
Figura C
A parte inteligente disso é que o complemento ainda fornece as funcionalidades para as quais o usuário o instalou, geralmente conversor de PDF, para que o usuário não o desinstale.
Ele não está disponível na Chrome Web Store, mas ainda pode ser baixado de recursos de terceiros.
Ladrão de FB
Uma das famílias mais perigosas de extensões de navegador maliciosas é atualmente o FB Stealer, destinado a roubar cookies do Facebook, além de alterar o mecanismo de pesquisa. O roubo de cookies permite que um invasor faça login na conta do Facebook da vítima e obtenha todo o controle dela, muitas vezes alterando a senha para expulsar o usuário legítimo antes de usar a conta para diferentes golpes. O FB Stealer é instalado no navegador por um malware, não pelo usuário.
O que acontece é que os usuários baixam e são infectados pelo malware Nullmixer, muitas vezes disfarçado como um instalador de software crackeado. Uma vez executado, ele instala silenciosamente o malware de extensão do navegador FB Stealer no computador.
Como se proteger dessas ameaças?
É aconselhável manter sempre o navegador atualizado e corrigido. Além disso, é altamente recomendável que todos os dados do navegador sejam analisados por produtos de segurança.
A maioria dos complementos maliciosos precisa de privilégios extras para funcionar completamente. Os usuários devem sempre examinar cuidadosamente os privilégios solicitados por um novo complemento que estão instalando.
Os complementos devem ser baixados apenas de fontes confiáveis, pois os complementos maliciosos geralmente são distribuídos por recursos de terceiros, onde ninguém verifica sua segurança como as lojas oficiais da web.
Por fim, os usuários devem revisar periodicamente suas extensões instaladas e verificar se ainda é realmente necessário. Caso contrário, deve ser desinstalado.
Divulgação: Eu trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.
