Em 2019, foi revelado que uma rede de extensões de navegador, principalmente para o Chrome, estava coletando dados confidenciais de até quatro milhões de usuários. Os dados extraídos incluíam PII, histórico de navegação, informações médicas e muito mais. Os dados foram então monetizados através de um esquema de comercialização. Essa violação ficou conhecida como Incidente DataSpiie esclarece até que ponto extensões maliciosas de navegador podem comprometer a privacidade do usuário e a segurança dos dados corporativos.

Nos últimos anos, o risco de extensões de navegador maliciosas aumentou significativamente. Extensões de navegador maliciosas podem coletar dados confidenciais, monitorar atividades online, injetar anúncios indesejados, desviar tráfego para sites maliciosos e até mesmo assumir o controle do navegador de um usuário. Isso coloca em risco a privacidade, a segurança e a experiência on-line geral dos usuários e das organizações. 

No entanto, atualmente falta a pilha tradicional de segurança de endpoint e de rede quando se trata de detectar e prevenir atividades maliciosas realizadas por meio de extensões de navegador. Nesta postagem do blog, revelaremos como extensões maliciosas se infiltram nos dispositivos e o que as empresas podem fazer para fortalecer suas redes.

Esta postagem do blog é baseada no relatório “Revelando a ameaça de extensões de navegador maliciosas”, que você pode ler na íntegra SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Tipos de extensões maliciosas

Extensões maliciosas representam um risco ativo ou potencial quando instaladas em um navegador. Existem três tipos de extensões maliciosas:

  • Extensão inicialmente maliciosa – Uma extensão que foi criada por um adversário do zero para um propósito malicioso.
  • Extensão comprometida – Uma extensão inicialmente legítima que passou a ser propriedade de um adversário após a compra direta da extensão ou o comprometimento da conta do desenvolvedor da extensão.
  • Extensão arriscada – Uma extensão legítima que possui permissões excessivas.

Como as extensões do navegador são instaladas

Existem cinco métodos pelos quais uma extensão maliciosa ganha residência no navegador da vítima:

  1. Administrador – Extensões distribuídas centralmente pelos administradores de rede dentro da empresa. Estas são extensões com aprovação organizacional explícita.
  2. Normal – Extensões baixadas de lojas oficiais de navegadores. Os usuários instalam extensões visitando a listagem de uma extensão na Web Store do navegador. 
  3. Desenvolvimento – Extensões carregadas dos computadores locais dos funcionários.
  4. Escada lateral – Extensões instaladas por aplicativos de terceiros, como Adobe ou outros fornecedores de software. 
  5. Atualização de software – Atualizar uma extensão que foi comprometida por um adversário depois de ter sido instalada pela primeira vez e usada para fins legítimos.

Extensas permissões de extensão do navegador

As permissões de extensão do navegador são o conjunto de regras que determinam quais ações uma extensão pode executar em seu navegador. As permissões são solicitadas e concedidas quando os usuários instalam uma extensão e podem variar bastante dependendo da funcionalidade pretendida da extensão.

As permissões geralmente são a base dos ataques cibernéticos baseados em extensões. Depois que a extensão for instalada, as permissões podem ser usadas para realizar operações maliciosas.

Permissões arriscadas incluem:

  • Cookies
  • Debugger
  • webRequest
  • prancheta
  • definições de conteudo
  • desktopCaptureֿ\pageCapture
  • HISTÓRIA
  • Privacidade
  • procuração
  • abaCaptura
  • https://*/*

Para obter mais detalhes sobre como essas permissões permitem que adversários se infiltrem em dispositivos e acessem dados confidenciais, leia o relatório completo.

Como as extensões de navegador maliciosas atacam

Depois de instaladas e com permissões concedidas, as extensões podem continuar a se infiltrar nos sistemas da organização. O ataque completo inclui as seguintes etapas:

  1. O adversário cria a extensão ou compra uma existente e adiciona código malicioso a ela.
  2. A extensão é carregada em uma loja virtual ou no servidor do adversário.
  3. Os usuários são atraídos a instalar a extensão por meio de engenharia social ou transferindo a extensão em segundo plano.
  4. Depois de instalada, a extensão solicita uma série de permissões, como acesso ao histórico de navegação, dados pessoais e muito mais.
  5. Com as permissões concedidas, o adversário pode começar a executar suas atividades maliciosas por meio da extensão. Por exemplo, pegar senhas, cookies e certificados armazenados no navegador.
  6. Os adversários podem se misturar ao tráfego existente comunicando-se usando os protocolos da camada de aplicação OSI.
  7. Os adversários podem exfiltrar os dados capturados ou extraídos pela extensão por vários canais. Eles geralmente preferem usar protocolos web padrão devido à falta comum de inspeção do tráfego de saída por firewalls/proxies.
  8. Existem inúmeras maneiras pelas quais um ataque malicioso baseado em extensão pode causar danos, dependendo das intenções do autor da ameaça que o iniciou. Esses incluem:
  • Acesso malicioso a recursos organizacionais usando as credenciais coletadas. 
  • Aumentar a exposição das organizações a ataques através da venda de dados comprometidos na dark web.
  • Ataques de phishing direcionados com base nos dados coletados dos usuários. 
  • Consumindo energia do computador para mineração de criptografia.
  • Injeção de adware e malvertising para redirecionar usuários a sites maliciosos.

Mitigação: o que você pode fazer?

O Chrome não desinstala automaticamente extensões que não foram publicadas por seus desenvolvedores ou que foram retiradas da loja, mesmo que estejam marcadas como malware. Em vez disso, é responsabilidade dos usuários remover a extensão. Isso torna ainda mais importante implementar controles e práticas de segurança avançadas para proteger o navegador contra extensões maliciosas.

As melhores práticas incluem:

    1. Baixe de fontes confiáveis: Instale apenas extensões de lojas oficiais de extensões de navegador, como a Chrome Web Store para Google Chrome ou o site de complementos do Firefox para Mozilla Firefox.
    2. Veja quando a extensão foi atualizada pela última vez: atualizações regulares costumam ser um indicador de um desenvolvedor responsável que aborda vulnerabilidades e garante compatibilidade com as versões mais recentes do navegador. Extensões desatualizadas podem não ter patches de segurança críticos e representar um risco maior de exploração.
    3. Revise a seção de práticas de privacidade e o site da extensão: Extensões legítimas normalmente fornecem políticas de privacidade claras e concisas, detalhando como os dados do usuário são coletados, usados ​​e protegidos. Qualquer falta de tais informações ou políticas vagas podem ser sinais de alerta, sugerindo um possível uso indevido dos dados do usuário.
    4. Pesquise a extensão: Extensões com um grande número total de downloads, avaliações positivas e classificações altas têm maior probabilidade de serem legítimas e seguras de usar. Tenha cuidado com extensões com envolvimento mínimo do usuário, poucas avaliações ou classificações baixas, pois sua confiabilidade pode ser questionável.
    5. Verificar permissões: tenha cuidado se uma extensão solicitar permissões desnecessárias ou excessivas que pareçam não relacionadas à sua funcionalidade.
    6. Usar software de segurança: instale software antivírus e antimalware confiável que possa ajudar a detectar e prevenir extensões maliciosas.
    7. Seja cético: se a oferta de uma extensão parecer boa demais para ser verdade ou alegar oferecer conteúdo ilegal gratuitamente, provavelmente ela é maliciosa.
    8. Revise regularmente as extensões: revise as extensões que você instalou e remova aquelas que não usa mais ou que você suspeita que possam ser maliciosas.
    9. Use uma plataforma de segurança do navegador: Uma plataforma de segurança de navegador como LayerX verificará os navegadores da sua força de trabalho para descobrir extensões maliciosas instaladas que devem ser removidas. Além disso, analisará o comportamento das extensões de navegador existentes para evitar que acessem dados confidenciais do navegador. Por fim, a plataforma impedirá que adversários obtenham acesso à ampla gama de dados de credenciais armazenados em seu navegador, para evitar desvio de MFA e possível controle de conta

Para mais detalhes sobre cada estratégia de mitigação, leia o relatório completo.

Seus próximos passos

Extensões maliciosas são uma preocupação crescente para as organizações, devido ao seu uso generalizado, embora com capacidades de monitoramento limitadas. Extensões de navegador maliciosas podem coletar dados confidenciais e permitir que adversários se infiltrem nas organizações, colocando toda a organização em risco.

Ao praticar diligência e empregar práticas avançadas de segurança, a organização pode proteger-se desse popular vetor de ataque. Tentar LayerX, a plataforma de segurança do navegador que vai além da pilha existente e pode identificar e bloquear atividades de extensões maliciosas, clique aqui.