1,3 milhões de utilizadores encontraram ameaças nas extensões do navegador na primeira metade de 2022

1,3 milhões de utilizadores encontraram ameaças nas extensões do navegador na primeira metade de 2022

Os investigadores da Kaspersky analisaram o que as extensões de navegadores com aparência inocente representam para os utilizadores e as atividades de cibercriminosos que escondem ameaças sob a forma de add-ons. No primeiro semestre de 2022, mais de 1,3 milhões de utilizadores foram afetados por ameaças, escondidos em extensões de navegadores, pelo menos uma vez, o que representa mais de 70% do número de utilizadores afetados pela mesma ameaça durante todo o ano de 2021 - faltando ainda outra metade do ano. Ao fazer uma simulação de aplicações populares, tais como o Google Translator ou extensões com funcionalidades úteis como o PDF Converter ou o Video Downloader, as ameaças nas extensões dos navegadores podem inserir anúncios, recolher dados sobre os históricos de navegação dos utilizadores e até pesquisar credenciais de login, tornando-o uma das ferramentas mais desejáveis para os cibercriminosos.

Desde o início de 2020, os produtos da Kaspersky impediram cerca de 6 milhões de utilizadores de descarregar ameaças disfarçadas de extensões do navegador. Durante o primeiro semestre de 2022, investigadores Kaspersky observaram um aumento do número de utilizadores afetados - com 1,3 milhões de utilizadores a encontrar ameaças em complementos durante este período, mais de 70% do número de utilizadores afetados pela mesma ameaça durante todo o ano anterior. A ameaça mais proeminente espalhada sob o disfarce de extensões do navegador foi o adware - software não desejado concebido para atirar anúncios para o ecrã. Tais anúncios são geralmente baseados no histórico de navegação para captar o interesse dos utilizadores, incorporar banners em páginas web ou redirecioná-los para páginas afiliadas das quais os programadores podem ganhar dinheiro, em vez de anúncios legítimos nos motores de busca. De Janeiro de 2020 a Junho de 2022, os especialistas Kaspersky observaram que mais de 4,3 milhões de utilizadores únicos enfrentaram adware escondido em extensões de navegadores, o que significa que aproximadamente 70% de todos os utilizadores afetados encontraram esta ameaça.

O adware pode seguir tudo o que o utilizador procura e depois promover estes produtos com anúncios de afiliados no motor de busca

Também se descobriu que os suplementos maliciosos e indesejados eram distribuídos através de mercados oficiais. Em 2020, a Google removeu 106 extensões maliciosas de navegadores da sua Loja Web Chrome. Todas elas estavam a ser utilizadas para extrair dados sensíveis dos utilizadores, tais como cookies e palavras-passe, e até para tirar imagens de ecrã. No total, estas extensões maliciosas foram descarregadas 32 milhões de vezes, pondo em risco os dados de milhões de utilizadores.

No entanto, isto não acontece frequentemente, a principal forma de distribuição de suplementos maliciosos é através de recursos de terceiros. Uma das famílias de ameaças analisadas pelos investigadores da Kaspersky no relatório, apelidada de FB Stealer, foi difundida unicamente através de sites não fiáveis. O FB Stealer é uma das famílias de ameaças mais perigosas porque, para além da tradicional substituição de motores de busca e do redireccionamento de páginas afiliadas, o FB Stealer é capaz de roubar credenciais de utilizadores do Facebook.

Quando os utilizadores tentaram descarregar um instalador de software rachado a partir de recursos de terceiros, tais como SolarWinds Broadband Engineers Keymaker, receberam de facto um perigoso Trojan NullMixer. Depois, o NullMixer auto-instalou o FB Stealer no dispositivo, o que parecia menos suspeito para o utilizador, porque imitava a inofensiva e de aspecto padrão da extensão do chrome "Google Translate".

O Trojan NullMixer está espalhado por diferentes instaladores de software hacked, por exemplo, o keymaker dos engenheiros de banda larga da SolarWinds

Depois de lançar o FB Stealer, o Trojan NullMixer poderia extrair cookies de sessão do Facebook - segredos armazenados no navegador que contêm dados de identificação que permitem aos utilizadores permanecerem ligados - e enviá-los para os servidores dos atacantes. Utilizando estes cookies, eles são capazes de entrar rapidamente na conta do Facebook da vítima. Uma vez na conta, os agressores pedem dinheiro aos amigos da vítima, tentando levar o máximo possível antes de o utilizador recuperar o acesso à conta. No final, após descarregarem um instalador hackeado de um recurso desconhecido, os utilizadores recebem uma ameaça que não esperavam e muitos dos seus amigos perdem o seu dinheiro.

“Mesmo as extensões de navegadores que não transportam uma carga útil maliciosa podem ser perigosas. Por exemplo, quando os criadores destes add-ons vendem dados recolhidos de utilizadores a outras empresas, expondo potencialmente os seus dados a alguém que não era suposto vê-los. Os utilizadores podem perguntar-se se vale a pena descarregar extensões de navegadores quando podem transportar tantas ameaças. Eu próprio sou um utilizador activo de extensões de programas de navegação e acredito que os complementos melhoram a experiência online. Algumas extensões podem até tornar os dispositivos muito mais seguros, por exemplo, os gestores de senhas. É muito mais importante estar atento à idoneidade e fiabilidade do programador e às permissões que a extensão pede. Se seguir as recomendações para uma utilização segura das extensões do navegador, os riscos de encontrar quaisquer ameaças serão mínimos", comenta Anton V. Ivanov, investigador sénior de segurança.

Para saber mais sobre os perigos que as extensões inocentes do navegador representam para os utilizadores, leia o relatório completo na Securelist.

Para se proteger de ameaças, escondendo-se nas extensões do navegador, Kaspersky recomenda o seguinte:

• Utilizar apenas fontes fiáveis para descarregar software. O malware e as aplicações indesejadas são frequentemente distribuídos através de recursos de terceiros onde ninguém verificará a sua segurança da mesma forma que as lojas oficiais da web o fazem. Estas aplicações podem instalar extensões de browser maliciosas ou indesejadas sem que o utilizador tenha conhecimento disso e podem realizar outras atividades maliciosas.
• As extensões acrescentam funcionalidades extra aos navegadores e requerem acesso a vários recursos e permissões - examine cuidadosamente os pedidos de extensão antes de concordar com os mesmos.
• Limite o número de extensões que está a utilizar de uma só vez e reveja periodicamente as extensões instaladas. Desinstale as extensões que já não utiliza ou que não reconhece.
• Utilizar uma solução de segurança robusta. A navegação privada, como em Kaspersky Internet Security, pode ajudá-lo a evitar o seguimento da Internet e a protegê-lo de ameaças.