{"id":12223,"date":"2019-08-22T17:46:44","date_gmt":"2019-08-22T20:46:44","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12223"},"modified":"2020-11-27T14:00:28","modified_gmt":"2020-11-27T17:00:28","slug":"browser-data-theft","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/browser-data-theft\/12223\/","title":{"rendered":"Malware rouba as informa\u00e7\u00f5es de preenchimento autom\u00e1tico do navegador"},"content":{"rendered":"

Muitos navegadores gentilmente oferecem para salvar seus dados: credenciais de acesso, dados de cart\u00e3o de cr\u00e9dito em lojas online, endere\u00e7os de faturamento, n\u00famero de passaporte para sites de viagens, etc. \u00c9 pr\u00e1tico porque evita que voc\u00ea tenha que preencher os mesmos campos mais de uma vez e diminui a preocupa\u00e7\u00e3o sobre lembrar todas as senhas. No entanto, existe um problema: os criminosos podem obter essas informa\u00e7\u00f5es salvas se o seu computador estiver infectado por um stealer<\/a> (malware que rouba informa\u00e7\u00f5es, incluindo a dos navegadores).
\nEsses programas s\u00e3o cada vez mais populares em golpes online. Somente no primeiro semestre deste ano, os produtos de seguran\u00e7a da Kaspersky detectaram mais de 940 mil ataques com stealer<\/a>, aumento de um ter\u00e7o em rela\u00e7\u00e3o ao mesmo per\u00edodo de 2018.<\/p>\n

Estritamente falando, os stealers n\u00e3o apenas se concentram em dados de preenchimento autom\u00e1tico em navegadores, mas tamb\u00e9m buscam carteiras de criptomoedas e dados de jogos e roubam arquivos do desktop (esperamos que voc\u00ea n\u00e3o guarde informa\u00e7\u00f5es valiosas l\u00e1, como uma lista de senhas).<\/p>\n

No entanto, os navegadores s\u00e3o usados \u200b\u200btanto para o trabalho, quanto para o lazer (o que inclui fazer compras e consultas banc\u00e1rias), ent\u00e3o eles tendem a ser uma fonte de informa\u00e7\u00f5es muito mais confidenciais se comparados a outros programas. Vamos ver como os stealers obt\u00eam informa\u00e7\u00f5es dos navegadores.<\/p>\n

Como os navegadores armazenam informa\u00e7\u00f5es de preenchimento autom\u00e1tico<\/h2>\n

Os desenvolvedores de navegadores procuram proteger as informa\u00e7\u00f5es que lhes s\u00e3o confiadas e, para isso, as criptografam de modo que s\u00f3 possam ser descriptografadas no mesmo dispositivo e conta onde foram armazenadas. Se algu\u00e9m roubar um arquivo com dados de preenchimento autom\u00e1tico, n\u00e3o poder\u00e1 us\u00e1-lo porque tudo est\u00e1 protegido por criptografia.<\/p>\n

Infelizmente, h\u00e1 uma brecha. Por padr\u00e3o, os desenvolvedores de navegador presumem que tanto seu dispositivo e conta est\u00e3o bem protegidos, ou seja, qualquer programa executado a partir de sua conta de computador atua em seu nome e, portanto, deve ser capaz de extrair e descriptografar informa\u00e7\u00f5es armazenadas. Infelizmente, isso tamb\u00e9m inclui malware invasores, executados em sua conta.<\/p>\n

O \u00fanico navegador que oferece prote\u00e7\u00e3o extra para informa\u00e7\u00f5es armazenadas contra terceiros \u00e9 o Firefox, que permite criar uma senha mestra que deve ser inserida quando precisar descriptografar informa\u00e7\u00f5es a serem usadas em um campo de preenchimento autom\u00e1tico. No entanto, esta op\u00e7\u00e3o est\u00e1 desativada por padr\u00e3o.<\/p>\n

Como o malware rouba informa\u00e7\u00f5es do Chrome<\/h3>\n

O Google Chrome e outros navegadores que dependem do mecanismo Chromium (como o Opera e o Yandex.Browser) sempre armazenam os dados do usu\u00e1rio no mesmo local, portanto, os stealers n\u00e3o ter\u00e3o problemas em encontr\u00e1-los. Vale ressaltar que teoricamente essas informa\u00e7\u00f5es est\u00e3o criptografadas. No entanto, se o malware j\u00e1 estiver no sistema, ele poder\u00e1 operar em seu nome.<\/p>\n

Portanto, o malware s\u00f3 faz uma singela solicita\u00e7\u00e3o \u00e0 ferramenta de criptografia do navegador para descriptografar as informa\u00e7\u00f5es armazenadas em seu computador. Como parece que o usu\u00e1rio solicitou, a opera\u00e7\u00e3o \u00e9 considerada por padr\u00e3o segura e o stealer obt\u00e9m todas as suas senhas e dados de cart\u00e3o de cr\u00e9dito.
\n<\/p>\n

Como o malware rouba informa\u00e7\u00f5es do Firefox<\/h3>\n

O Firefox funciona de uma maneira um pouco diferente. Com intuito de esconder os bancos de dados, especialmente, de estranhos, o navegador cria um perfil com um nome aleat\u00f3rio para que o malware n\u00e3o saiba, no come\u00e7o, onde procurar. No entanto, o nome do arquivo com as informa\u00e7\u00f5es armazenadas n\u00e3o \u00e9 alterado -n\u00e3o h\u00e1 nada que impe\u00e7a o stealer de pesquisar todos os perfis (as pastas que os cont\u00eam s\u00e3o armazenadas no mesmo local) e identificar o arquivo desejado.<\/p>\n

Depois disso, o malware novamente solicita ao m\u00f3dulo do navegador relevante que descriptografe os arquivos e obt\u00e9m \u00eaxito, pois o mesmo acredita que a opera\u00e7\u00e3o foi feita pelo usu\u00e1rio.<\/p>\n

Como o malware rouba informa\u00e7\u00f5es do Internet Explorer e do Edge<\/h3>\n

Os navegadores nativos do Windows usam armazenamento especial para suas informa\u00e7\u00f5es. O m\u00e9todo e o tipo de armazenamento precisos dependem da vers\u00e3o do aplicativo, mas, em qualquer caso, a confiabilidade deixa muito a desejar. Neste caso, suas senhas e informa\u00e7\u00f5es de cart\u00e3o banc\u00e1rio podem ser obtidas de maneira simples, basta realizar a solicita\u00e7\u00e3o porque, aparentemente, ela vir\u00e1 de voc\u00ea.<\/p>\n

O problema \u00e9 que a solicita\u00e7\u00e3o de malware para descriptografar as informa\u00e7\u00f5es parece vir do usu\u00e1rio, portanto, o navegador n\u00e3o tem motivos para recus\u00e1-la.<\/p>\n

O que acontece com a informa\u00e7\u00e3o roubada pelo stealer?<\/h2>\n

Uma vez que o malware tenha conseguido os dados de preenchimento autom\u00e1tico em texto simples, tudo \u00e9 enviado aos cibercriminosos e duas situa\u00e7\u00f5es podem ocorrer: os respons\u00e1veis \u200b\u200bpelo ataque podem us\u00e1-los ou, certamente, vend\u00ea-los a terceiros no mercado paralelo, um lugar onde esse tipo de produto geralmente tem alto valor.<\/p>\n

Em qualquer uma das situa\u00e7\u00f5es, se os logins e senhas estiverem entre as informa\u00e7\u00f5es armazenadas, os criminosos podem acabar roubando algumas contas e tentar obter dinheiro de seus amigos. Se voc\u00ea salvou as informa\u00e7\u00f5es do cart\u00e3o banc\u00e1rio no navegador, as perdas poderiam ser mais diretas, pois poderiam gastar ou transferir seu dinheiro.<\/p>\n

As contas roubadas tamb\u00e9m podem ser usadas para muitas outras finalidades, desde spam e promo\u00e7\u00e3o de sites e aplicativos, at\u00e9 para o envio de v\u00edrus e lavagem de dinheiro roubado de outras pessoas (e se a pol\u00edcia se envolver, eles podem bater \u00e0 sua porta).<\/p>\n

Como proteger a informa\u00e7\u00e3o dos stealers<\/h2>\n

Como voc\u00ea pode ver, se o malware invadir seu computador, as informa\u00e7\u00f5es armazenadas no seu navegador estar\u00e3o em perigo e, com isso, suas finan\u00e7as e reputa\u00e7\u00e3o. Para evitar essa situa\u00e7\u00e3o:<\/p>\n