Antecedentes

Em 3 de junho de 2024, o usuário do Twitter @CryptoNakamaocompartilhou sua experiência de perder US$1 milhão devido ao download da extensão maliciosa do Chrome Aggr, levantando preocupações na comunidade cripto sobre os riscos das extensões e a segurança de seus próprios ativos. Em 31 de maio, a equipe de segurança SlowMist divulgou uma análise intitulada “Lobo em pele de cordeiro | Análise de extensões falsas do Chrome roubando”, detalhando as ações maliciosas da extensão Aggr. Dado a falta de conhecimento prévio dos usuários sobre extensões de navegador, o Oficial de Segurança da Informação da SlowMist, 23pds, utilizou um formato de perguntas e respostas no artigo para explicar o básico e os riscos potenciais das extensões. Eles também forneceram recomendações para mitigar os riscos das extensões, visando ajudar usuários individuais e plataformas de negociação a aprimorar a segurança de suas contas e ativos.

(https://x.com/im23pds/status/1797528115897626708)

Perguntas e Respostas

1. O que são extensões do Chrome?

Uma extensão do Chrome é um plugin projetado para o Google Chrome para estender a funcionalidade e comportamento do navegador. Essas extensões podem personalizar a experiência de navegação do usuário, adicionar novos recursos ou conteúdo e interagir com sites. As extensões do Chrome são tipicamente construídas usando HTML, CSS, JavaScript e outras tecnologias web. A estrutura de uma extensão do Chrome geralmente inclui os seguintes componentes:

1. manifest.json: O arquivo de configuração da extensão, definindo informações básicas como nome, versão, permissões, etc.
2. Scripts de Fundo: Scripts que são executados em segundo plano no navegador, lidando com eventos e tarefas de longo prazo.
3. Scripts de Conteúdo: Scripts que são executados no contexto de páginas da web, permitindo interação direta com as páginas da web.
4. Interface do Usuário (UI): Inclui elementos como botões da barra de ferramentas do navegador, janelas pop-up, páginas de opções, etc.

2. O que as extensões do Chrome fazem?

1. Bloqueadores de anúncios: Extensões que podem interceptar e bloquear anúncios em páginas da web, melhorando assim a velocidade de carregamento da página e a experiência do usuário. Exemplos incluem AdBlock e uBlock Origin.
2. Privacidade e Segurança: Algumas extensões aprimoram a privacidade e segurança do usuário ao prevenir rastreamento, criptografar comunicações, gerenciar senhas, etc. Exemplos incluem o Privacy Badger e o LastPass.
3. Ferramentas de Produtividade: Extensões que ajudam os usuários a aumentar a produtividade, como gerenciamento de tarefas, anotações, controle de tempo, etc. Exemplos incluem Todoist e Evernote Web Clipper.
4. Ferramentas para Desenvolvedores: Ferramentas para desenvolvedores web que fornecem capacidades de depuração e desenvolvimento, como inspecionar estruturas de páginas da web, depurar código, analisar solicitações de rede, etc. Exemplos incluem React Developer Tools e Postman.
5. Mídia Social e Comunicação: Extensões que integram mídias sociais e ferramentas de comunicação, permitindo aos usuários lidar com notificações, mensagens, etc. enquanto navegam. Exemplos incluem Grammarly e Facebook Messenger.
6. Customização da Web: Os usuários podem personalizar a aparência e o comportamento das páginas da web usando extensões, como mudar temas, reorganizar elementos da página, adicionar funcionalidades extras, etc. Exemplos incluem Stylish e Tampermonkey.
7. Tarefas de Automação: Extensões que ajudam a automatizar tarefas repetitivas, como preencher formulários, baixar arquivos em lote, etc. Exemplos incluem iMacros e DownThemAll.
8. Tradução de idioma: Algumas extensões podem traduzir o conteúdo da página da web em tempo real, ajudando os usuários a entenderem páginas da web em diferentes idiomas, como o Google Tradutor.
9. Assistência em criptomoedas: Extensões que facilitam experiências de negociação de criptomoedas mais fáceis para os usuários, como o MetaMask, etc.

A flexibilidade e a diversidade das extensões do Chrome permitem que elas sejam aplicadas a quase qualquer cenário de navegação, ajudando os usuários a realizar tarefas de forma mais eficiente.

3. Quais permissões a extensão do Chrome tem após ser instalada?

Após a instalação, as extensões do Chrome podem solicitar uma série de permissões para executar funções específicas. Essas permissões são declaradas no arquivo manifest.json da extensão e solicitam a confirmação dos usuários durante a instalação. As permissões comuns incluem:

1. <all_urls>: Permite que a extensão acesse conteúdo de todos os sites. Essa permissão ampla permite que a extensão leia e modifique dados em todos os sites.
2. abas: Permite que a extensão acesse informações sobre as abas do navegador, incluindo o acesso às abas atualmente abertas, criar e fechar abas, etc.
3. activeTab: Permite ao extensão acesso temporário à aba ativa atual, normalmente usado para realizar ações específicas quando o usuário clica no botão da extensão.
4. armazenamento: Permite que a extensão use a API de armazenamento do Chrome para armazenar e recuperar dados. Isso pode ser usado para salvar configurações de extensão, dados do usuário, etc.
5. cookies: Permite que a extensão acesse e modifique cookies no navegador.
6. webRequest e webRequestBlocking: Permite que a extensão intercepte e modifique solicitações de rede. Essas permissões são frequentemente usadas em extensões de bloqueio de anúncios e proteção de privacidade.
7. favoritos: Permite que a extensão acesse e modifique os favoritos do navegador.
8. histórico: Permite à extensão acessar e modificar o histórico do navegador.
9. notificações: Permite que a extensão exiba notificações na área de trabalho.
10. contextMenus: Permite que a extensão adicione itens de menu personalizados ao menu de contexto do navegador (menu de clique com o botão direito).
11. geolocalização: Permite que a extensão acesse as informações de localização geográfica do usuário.
12. clipboardRead e clipboardWrite: Permite que a extensão leia do e escreva no clipboard.
13. downloads: Permite que a extensão gerencie downloads, incluindo iniciar, pausar e cancelar downloads.
14. gerenciamento: Permite que a extensão gerencie outras extensões e aplicativos no navegador.
15. background: Permite que a extensão execute tarefas de longa duração em segundo plano.
16. notificações: Permite que a extensão exiba notificações do sistema.
17. webNavigation: Permite que a extensão monitore e modifique o comportamento de navegação do navegador.

Essas permissões permitem que as extensões do Chrome executem diversas funções poderosas, mas também significa que as extensões podem acessar dados sensíveis do usuário, como cookies, informações de autenticação e muito mais.

4. Por que extensões maliciosas do Chrome podem roubar permissões do usuário?

Extensões maliciosas do Chrome podem explorar as permissões solicitadas para roubar as credenciais dos usuários e informações de autenticação, pois essas extensões têm acesso direto e podem manipular o ambiente e os dados do navegador do usuário.

1. Acesso amplo: Extensões maliciosas frequentemente solicitam permissões extensas, como acessar todos os sites (<all_urls>), ler e modificar guias do navegador (tabs) e acessar o armazenamento do navegador (storage). Essas permissões permitem que extensões maliciosas acessem extensivamente as atividades de navegação e dados dos usuários.
2. Manipulação de solicitações de rede: Extensões maliciosas podem usar permissões webRequest e webRequestBlocking para interceptar e modificar solicitações de rede, roubando assim as informações de autenticação e dados sensíveis dos usuários. Por exemplo, elas podem interceptar dados de formulário quando os usuários fazem login em sites para obter nomes de usuário e senhas.
3. Leitura e escrita de conteúdo da página: Através de scripts de conteúdo, extensões maliciosas podem incorporar código em páginas da web para ler e modificar o conteúdo da página. Isso significa que elas podem roubar quaisquer dados inseridos pelos usuários em páginas da web, como informações de formulário e consultas de pesquisa.
4. Acessando o armazenamento do navegador: extensões maliciosas podem usar permissões de armazenamento para acessar e armazenar dados locais dos usuários, incluindo o armazenamento do navegador que pode conter informações sensíveis (como LocalStorage e IndexedDB).
5. Manipular a área de transferência: Com as permissões clipboardRead e clipboardWrite, extensões maliciosas podem ler e escrever o conteúdo da área de transferência dos usuários, roubando ou adulterando as informações copiadas e coladas pelos usuários.
6. Fazendo-se passar por sites legítimos: Extensões maliciosas podem se disfarçar como sites legítimos modificando o conteúdo do navegador ou redirecionando usuários para páginas falsificadas, enganando os usuários a inserir informações sensíveis.
7. Executando em segundo plano por longos períodos: Extensões maliciosas com permissões de segundo plano podem ser executadas continuamente em segundo plano, mesmo quando os usuários não as estão usando ativamente. Isso permite que elas monitorem as atividades do usuário por longos períodos e coletem grandes quantidades de dados.
8. Manipulação de downloads: usando permissões de download, extensões maliciosas podem baixar e executar arquivos maliciosos, comprometendo ainda mais a segurança do sistema do usuário.

5.Por que as vítimas desta extensão maliciosa tiveram suas permissões roubadas e seus fundos comprometidos?

Porque esta extensão maliciosa Aggr aconteceu de obter as informações de fundo que acabamos de discutir, aqui está um trecho da seção de permissões do seu arquivo manifest.json:

1. cookies
2. abas
3. <all_urls>
4. armazenamento

6. O que pode fazer uma extensão maliciosa do Chrome depois de roubar os cookies dos usuários?

1. Acessando contas: Extensões maliciosas podem usar cookies roubados para simular login do usuário em plataformas de negociação de criptomoedas, acessando assim as informações da conta do usuário, incluindo saldos e histórico de transações.
2. Realizando transações: Cookies roubados podem permitir que extensões maliciosas realizem transações sem o consentimento do usuário, comprando ou vendendo criptomoedas ou transferindo ativos para outras contas.
3. Retirada de fundos: Se os cookies contiverem informações de sessão e tokens de autenticação, extensões maliciosas podem contornar a autenticação de dois fatores (2FA) e iniciar a retirada de fundos, transferindo as criptomoedas dos usuários para carteiras controladas pelos atacantes.
4. Acesso a informações sensíveis: Extensões maliciosas podem acessar e coletar informações sensíveis nas contas da plataforma de negociação dos usuários, como documentos de autenticação e endereços, potencialmente usados para atividades adicionais de roubo de identidade ou fraude.
5. Modificando as configurações da conta: As extensões maliciosas podem alterar as configurações da conta dos usuários, como os endereços de e-mail vinculados e números de telefone, controlando ainda mais as contas e roubando mais informações.
6. Impersonando usuários para ataques de engenharia social: Usando contas de usuário para ataques de engenharia social, como enviar mensagens fraudulentas para os contatos dos usuários, induzi-los a operações inseguras ou fornecer informações mais sensíveis.

Respostas

Ao ver isso, muitos usuários podem se perguntar: 'O que devo fazer? Devo simplesmente desconectar da internet e parar de usá-la completamente? Devo usar um computador separado para operações? Devo evitar fazer login em plataformas por meio de páginas da web?' Existem muitas sugestões extremas online, mas na realidade, podemos aprender como prevenir esses riscos de forma razoável:

Medidas de mitigação do usuário pessoal:

1. Aumentar a conscientização sobre a segurança pessoal: A primeira sugestão preventiva é aumentar a conscientização sobre a segurança pessoal e manter uma atitude cética o tempo todo.
2. Instale extensões apenas de fontes confiáveis: instale extensões da Chrome Web Store ou de outras fontes confiáveis, leia avaliações de usuários e solicitações de permissões, e evite conceder permissões de acesso desnecessárias para extensões.
3. Use um ambiente de navegação seguro: evite instalar extensões de fontes desconhecidas, revise e remova regularmente extensões desnecessárias, considere usar navegadores diferentes para isolar a navegação do plugin e a navegação de transações de fundos.
4. Monitore regularmente a atividade da conta: Verifique regularmente as atividades de login da conta e os registros de transações e tome medidas imediatas ao detectar comportamentos suspeitos.
5. Lembre-se de fazer logout: Lembre-se de fazer logout após usar plataformas web. Muitas pessoas tendem a ignorar o clique em "logout" após concluir operações em uma plataforma por conveniência, o que representa riscos de segurança.
6. Use carteiras de hardware: para ativos grandes, use carteiras de hardware para armazenamento para aumentar a segurança.
7. Configurações do navegador e ferramentas de segurança: Use configurações seguras do navegador e extensões (como bloqueadores de anúncios e ferramentas de proteção de privacidade) para reduzir o risco de extensões maliciosas.
8. Use software de segurança: Instale e use software de segurança para detectar e prevenir extensões maliciosas e outros malwares.

Recomendações finais de controle de risco para plataformas: Ao implementar essas medidas, as plataformas de negociação podem reduzir os riscos de segurança causados por extensões maliciosas do Chrome para os usuários:

Exigir o uso da Autenticação de Dois Fatores (2FA):

• Ativar 2FA globalmente: Exigir que todos os usuários ativem a autenticação de dois fatores (2FA) para o login e operações importantes (como negociação, realização de pedidos e saques de fundos), garantindo que mesmo se os cookies de um usuário forem roubados, os invasores não consigam acessar facilmente a conta.

• Métodos de autenticação múltiplos: Suporta vários métodos de autenticação de 2FA, como SMS, e-mail, Google Authenticator e tokens de hardware.

Gerenciamento de sessão e segurança:

• Gerenciamento de dispositivos: Fornecer aos usuários a capacidade de visualizar e gerenciar dispositivos conectados, permitindo que eles encerrem sessões de dispositivos não reconhecidos a qualquer momento.

• Tempo limite da sessão: Implemente políticas de tempo limite da sessão para fazer logout automático de sessões inativas, reduzindo o risco de sequestro de sessão.

• Monitoramento de endereço IP e geolocalização: Detecte e alerte os usuários sobre tentativas de login de endereços IP ou geolocalizações incomuns e bloqueie esses logins, se necessário.

Melhorar configurações de segurança da conta:

• Notificações de segurança: Notifique prontamente os usuários sobre ações importantes, como login de conta, alterações de senha e retiradas de fundos, por e-mail ou SMS, para alertar os usuários sobre atividades suspeitas.

• Recurso de congelamento de conta: Fornecer uma opção para os usuários congelarem rapidamente suas contas em casos de emergência para controlar danos.

Fortalecer sistemas de monitoramento e controle de riscos:

• Detecção de comportamento anormal: Use aprendizado de máquina e análise de big data para monitorar o comportamento do usuário, identificar padrões de negociação anormais e atividades da conta, e intervir prontamente no controle de riscos.

• Avisos de risco: Alerta e restrição de atividades suspeitas, como mudanças frequentes nas informações da conta ou tentativas frequentes de login falhadas.

Fornecer educação e ferramentas de segurança para os usuários:

• Educação em segurança: Disseminar conhecimento de segurança para os usuários por meio de contas oficiais nas redes sociais, e-mail, notificações da plataforma, etc., aumentando a conscientização sobre os riscos das extensões do navegador e como proteger suas contas.

• Ferramentas de segurança: Fornecer plugins ou extensões oficiais do navegador para ajudar os usuários a melhorar a segurança de suas contas, e detectar e alertar os usuários sobre possíveis ameaças de segurança.

Conclusão

Para ser sincero, do ponto de vista técnico, implementar as medidas de controle de risco mencionadas anteriormente nem sempre é a melhor abordagem. Equilibrar as necessidades de segurança e negócios é crucial; dar muita importância à segurança pode degradar a experiência do usuário. Por exemplo, exigir autenticação de segundo fator durante a colocação de pedido pode levar muitos usuários a desativá-lo para transações mais rápidas. Essa conveniência para os usuários também beneficia os hackers, pois os cookies roubados podem permitir que eles manipulem negociações e comprometam os ativos do usuário. Portanto, diferentes plataformas e usuários podem exigir abordagens variadas para o gerenciamento de riscos. Encontrar o equilíbrio entre metas de segurança e negócios varia de plataforma para plataforma, e é crucial que as plataformas priorizem tanto a experiência do usuário quanto a salvaguarda de contas e ativos de usuários.

Aviso Legal:

1. Este artigo é reproduzido a partir de [PANews]. Todos os direitos autorais pertencem ao autor original [ Tecnologia Slow MistSe houver objeções a este reenvio, por favor entre em contato com oGate Learnequipe, e eles lidarão com isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.