{"id":20042,"date":"2022-09-28T17:05:26","date_gmt":"2022-09-28T20:05:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20042"},"modified":"2022-09-28T17:05:26","modified_gmt":"2022-09-28T20:05:26","slug":"dangers-of-browser-extensions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dangers-of-browser-extensions\/20042\/","title":{"rendered":"Extens\u00f5es do navegador: mais perigosas do que voc\u00ea pensa"},"content":{"rendered":"

Cada um de n\u00f3s provavelmente instalou algum tipo de extens\u00e3o de navegador em pelo menos uma vez: um bloqueador de an\u00fancios, um tradutor online, um verificador ortogr\u00e1fico ou outra coisa. No entanto, raramente paramos para pensar: a extens\u00e3o \u00e9 realmente segura? Infelizmente, esses mini aplicativos aparentemente inofensivos podem ser muito mais perigosos do que parecem \u00e0 primeira vista. Vamos apresentar o que pode dar errado. Para isso, usaremos dados do \u00a0<\/a>relat\u00f3rio recente<\/a> \u00a0de nossos<\/a> especialistas<\/a> sobre as fam\u00edlias mais comuns de extens\u00f5es maliciosas de navegadores.<\/p>\n

O que s\u00e3o extens\u00f5es e o que elas fazem?<\/h2>\n

Vamos come\u00e7ar com a defini\u00e7\u00e3o b\u00e1sica e identificar a raiz do problema. Uma extens\u00e3o de navegador \u00e9 um plug-in que adiciona funcionalidade ao seu browser. Por exemplo, eles podem bloquear an\u00fancios em p\u00e1ginas da web, fazer anota\u00e7\u00f5es, verificar a ortografia e muito mais. Para navegadores populares, existem lojas oficiais para este tipo de aplica\u00e7\u00e3o que ajudam a selecionar, comparar e instalar os plug-ins que voc\u00ea deseja. Mas extens\u00f5es tamb\u00e9m podem ser instaladas a partir de fontes n\u00e3o oficiais.<\/p>\n

\u00c9 importante notar que, para uma extens\u00e3o fazer seu trabalho, ele precisar\u00e1 de permiss\u00e3o para ler e alterar o conte\u00fado dos sites que voc\u00ea visualiza em seu navegador. Sem esse acesso, provavelmente ser\u00e1 completamente in\u00fatil.<\/p>\n

No caso do Google Chrome, as extens\u00f5es exigir\u00e3o a capacidade de ler e alterar todos<\/strong> os seus dados em todos <\/strong>que voc\u00ea visita. Parece um grande neg\u00f3cio, certo? No entanto, mesmo as lojas oficiais chamam pouca aten\u00e7\u00e3o para este fato.<\/p>\n

Por exemplo, na Chrome Web Store, na se\u00e7\u00e3o de Pr\u00e1ticas de Privacidade<\/em>\u00a0da popular extens\u00e3o do Google Translate h\u00e1 afirma\u00e7\u00e3o que coleta informa\u00e7\u00f5es sobre localiza\u00e7\u00e3o, atividade do usu\u00e1rio e conte\u00fado do site. Mas o fato de que precisa de acesso a todos os dados de todos os sites para funcionar n\u00e3o \u00e9 revelado ao usu\u00e1rio at\u00e9 que ela esteja instalada.<\/p>\n

A extens\u00e3o do Google Translate pede permiss\u00e3o para \"Ler e alterar todos os seus dados em todos os sites\" que voc\u00ea visitar

A extens\u00e3o do Google Translate pede permiss\u00e3o para \u201cLer e alterar todos os seus dados em todos os sites\u201d que voc\u00ea visitar<\/p><\/div>\n

Muitos, se n\u00e3o a maioria dos usu\u00e1rios provavelmente, nem sequer ir\u00e3o ler esta se\u00e7\u00e3o e clicar\u00e3o logo em Usar no Chrome <\/em>para come\u00e7ar a usar o plug-in de forma imediata. Tudo isso cria uma oportunidade para os cibercriminosos distribu\u00edrem adware<\/a>, e at\u00e9 mesmo malware<\/a> sob o pretexto do que parece ser extens\u00f5es inofensivas.<\/p>\n

Quanto \u00e0s extens\u00f5es de adware, o direito de alterar o conte\u00fado exibido permite que mostrem an\u00fancios nos sites que voc\u00ea visita. Neste caso, os criadores da extens\u00e3o ganham dinheiro com os usu\u00e1rios clicando em links de afiliados tagueados para sites de anunciantes. Para obter um conte\u00fado de an\u00fancios mais direcionado, eles tamb\u00e9m podem analisar suas consultas de pesquisa e obter dados.<\/p>\n

As coisas s\u00e3o ainda piores quando se trata de extens\u00f5es maliciosas. O acesso ao conte\u00fado de todos os sites visitados permite que um invasor roube dados de cart\u00f5es<\/a> , cookies e outras informa\u00e7\u00f5es confidenciais<\/a>. Vamos ver alguns exemplos.<\/p>\n

Ferramentas maliciosas para arquivos office<\/h2>\n

Nos \u00faltimos anos, os cibercriminosos t\u00eam espalhado ativamente extens\u00f5es de adware nos WebSearch. Os membros desta fam\u00edlia geralmente s\u00e3o disfar\u00e7ados como ferramentas para arquivos do Office, por exemplo, para convers\u00e3o word-to-PDF.<\/p>\n

A maioria deles at\u00e9 exerce a fun\u00e7\u00e3o declarada. Mas, ap\u00f3s a instala\u00e7\u00e3o, eles substituem a p\u00e1gina inicial usual do navegador por uma barra de pesquisa de outro buscador e rastreia links de afiliados para recursos de terceiros, como AliExpress ou Farfetch.<\/p>\n

\"P\u00e1gina

P\u00e1gina inicial do navegador ap\u00f3s baixar uma das extens\u00f5es da fam\u00edlia WebSearch<\/p><\/div>\n

Uma vez instalada, a extens\u00e3o tamb\u00e9m altera o mecanismo de pesquisa padr\u00e3o para algo chamado search.myway. Isso permite que os cibercriminosos salvem e analisem as consultas de pesquisa do usu\u00e1rio e os alimentem com links mais relevantes de acordo com seus interesses.<\/p>\n

No momento, as extens\u00f5es do WebSearch n\u00e3o est\u00e3o mais dispon\u00edveis na loja oficial do Chrome, mas ainda podem ser baixadas a partir de recursos de terceiros.<\/p>\n

Adwares dif\u00edcieis de se livrar<\/h2>\n

Membros do DealPly, outra fam\u00edlia comum de extens\u00f5es de adware, geralmente entram nos computadores das pessoas, juntamente com conte\u00fado pirateado baixado de sites duvidosos. Eles funcionam da mesma forma que os plug-ins do WebSearch.<\/p>\n

As extens\u00f5es DealPly tamb\u00e9m substituem a p\u00e1gina inicial do navegador por um mini site com links de afiliados para plataformas digitais populares, e assim como as extens\u00f5es maliciosas do WebSearch, elas substituem o mecanismo de busca padr\u00e3o e analisam consultas de pesquisa do usu\u00e1rio para criar an\u00fancios mais personalizados.<\/p>\n

\"P\u00e1gina

P\u00e1gina inicial do navegador ap\u00f3s o carregamento de uma das extens\u00f5es da\u00a0 fam\u00edlia DealPly<\/p><\/div>\n

Al\u00e9m disso, membros da fam\u00edlia DealPly s\u00e3o extremamente dif\u00edceis de se livrar. Mesmo que o usu\u00e1rio remova a extens\u00e3o do adware, ele reinstalar\u00e1 em seu dispositivo cada vez que o navegador for aberto.<\/p>\n

AddScript distribui cookies indesejados<\/h2>\n

Extens\u00f5es da fam\u00edlia AddScript geralmente se disfar\u00e7am de ferramentas para baixar m\u00fasicas e v\u00eddeos de redes sociais ou plataformas de gest\u00e3o de servidores proxy. No entanto, al\u00e9m dessa funcionalidade, eles infectam o dispositivo infectado com c\u00f3digo malicioso. Os invasores ent\u00e3o usam esse c\u00f3digo para visualizar v\u00eddeos em segundo plano sem que o usu\u00e1rio perceba e ganhem renda aumentando o n\u00famero de visualiza\u00e7\u00f5es.<\/p>\n

Outra fonte de renda para cibercriminosos \u00e9 baixar cookies nos dispositivos das v\u00edtimas. De um modo geral, os cookies s\u00e3o armazenados quando os usu\u00e1rios visitam um site e utilizados como uma esp\u00e9cie de marcador digital. Em uma situa\u00e7\u00e3o normal, sites afiliados prometem levar os clientes para um site leg\u00edtimo. Para isso, atraem usu\u00e1rios para seu pr\u00f3prio site, o que, novamente, em uma situa\u00e7\u00e3o normal, \u00e9 feito por meio de conte\u00fado interessante ou \u00fatil. Em seguida, eles armazenam um cookie no computador do usu\u00e1rio e direcionam a navega\u00e7\u00e3o para o site de destino com um link. Usando esse cookie, o site entende de onde o novo cliente veio e paga ao parceiro uma taxa \u2014 \u00e0s vezes para o pr\u00f3prio redirecionamento, \u00e0s vezes uma porcentagem de qualquer compra feita, e \u00e0s vezes para uma determinada a\u00e7\u00e3o, como inscri\u00e7\u00e3o.<\/p>\n

Os operadores AddScript empregam uma extens\u00e3o maliciosa para abusar deste esquema. Em vez de enviar visitantes reais de sites para parceiros, eles baixam v\u00e1rios cookies nos dispositivos infectados. Esses cookies servem como marcadores para o programa de parceiros dos golpistas, e assim recebem uma taxa. Na verdade, eles n\u00e3o atraem nenhum novo cliente, e sua atividade de \u201cparceiro\u201d consiste em infectar computadores com essas extens\u00f5es maliciosas.<\/p>\n

FB Stealer \u2014 um ladr\u00e3o de cookies<\/h2>\n

FB Stealer, outra fam\u00edlia de extens\u00f5es maliciosas, trabalha de forma diferente. Ao contr\u00e1rio do AddScript, os membros destafam\u00edlia n\u00e3o baixam \u201cextras\u201d para o dispositivo, mas roubam cookies importantes. \u00c9 assim que funciona.<\/p>\n

A extens\u00e3o FB Stealer entra nos dispositivos dos usu\u00e1rios junto com o Trojan NullMixer, que normalmente entra no computador das v\u00edtimas ao tentarem o download de um instalador de software hackeado. Uma vez instalado, o Trojan modifica o arquivo usado para armazenar as configura\u00e7\u00f5es do navegador Chrome, incluindo informa\u00e7\u00f5es sobre extens\u00f5es.<\/p>\n

Ent\u00e3o, ap\u00f3s a ativa\u00e7\u00e3o, o FB Stealer finge ser a extens\u00e3o do Google Translate e as v\u00edtimas acabam por baixar a guarda. A extens\u00e3o parece muito convincente e o \u00fanico alerta \u00e9 o aviso do navegador de que a loja oficial n\u00e3o cont\u00e9m nenhuma informa\u00e7\u00e3o sobre a aplica\u00e7\u00e3o.<\/p>\n

\"O

O navegador avisa que a loja oficial n\u00e3o cont\u00e9m informa\u00e7\u00f5es sobre a extens\u00e3o<\/p><\/div>\n

Os membros desta fam\u00edlia tamb\u00e9m substituem o mecanismo de pesquisa padr\u00e3o do navegador, mas isso n\u00e3o \u00e9 a coisa mais desagrad\u00e1vel sobre essas extens\u00f5es. A principal fun\u00e7\u00e3o da FB Stealer \u00e9 roubar os cookies de usu\u00e1rios da maior rede social do mundo, da\u00ed o nome. Estes s\u00e3o os mesmos cookies que permitem que voc\u00ea pule o login toda vez que voc\u00ea visitar o site \u2014 e eles tamb\u00e9m permitem que os invasores obtenham premiss\u00e3o de entrada sem senha. Ao sequestrar uma conta desta forma, eles podem, ent\u00e3o, por exemplo, enviar mensagens aos amigos e parentes da v\u00edtima pedindo dinheiro.<\/p>\n

Mantenha-se seguro<\/h2>\n

As extens\u00f5es do navegador s\u00e3o ferramentas \u00fateis, mas \u00e9 importante trat\u00e1-las com cautela e perceber que n\u00e3o s\u00e3o t\u00e3o inofensivas quanto se pode pensar. Por isso, recomendamos as seguintes medidas de seguran\u00e7a:<\/p>\n