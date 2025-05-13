No passado, a maioria dos ataques "man-in-the-browser" era executada por malware que escaneia a memória do navegador para identificar padrões HTML específicos e injetar uma tag <script> diretamente no conteúdo da memória da página. Apesar da intenção maliciosa, esses scripts ainda estavam sujeitos aos mecanismos de segurança do navegador, como operar em um ambiente isolado, aderir à política de mesma origem e estar vinculados ao ciclo de vida da página em que foram injetados.

Por exemplo, os scripts injetados não podiam acessar cookies ou recursos de outras origens, nem podiam persistir ou ser executados depois que a página fosse fechada.

Por outro lado, os ataques modernos que utilizam extensões maliciosas de navegadores superam a maioria dessas limitações. As extensões operam independentemente de qualquer página da Web específica, permitindo que sejam executadas persistentemente em segundo plano. Eles também têm privilégios elevados, o que lhes permite ignorar as restrições de mesma origem, acessar recursos de todo o navegador, como cookies ou armazenamento, e permanecer ativos mesmo quando nenhuma página está aberta. Essa mudança tornou as extensões de navegador uma ferramenta poderosa para invasores, fornecendo um nível de persistência e controle muito além dos métodos tradicionais de injeção na web.

As extensões também introduziram uma mudança no contexto de execução do JavaScript, o que tem seus próprios benefícios maliciosos. As injeções tradicionais na web foram executadas no mesmo contexto que o código da aplicação da web, incluindo ferramentas de segurança. Qualquer evidência deixada para trás (como elementos de script, solicitações de rede, variáveis js etc.) pode tornar o malware detectável.

Agora, existem dois ambientes JavaScript diferentes, além do contexto da página:

Primeiro, há o contexto de script de conteúdo, que tem acesso ao documento da página, mas está parcialmente isolado do ambiente da página principal. Além disso, há um contexto de código em segundo plano (um trabalhador de serviço), que não tem acesso ao script de conteúdo e ao ambiente da página principal.

Todas as comunicações entre esses contextos ocorrem por meio de interfaces de navegador definidas que não são visíveis para a página ou seus desenvolvedores. A maioria das evidências e comportamentos de extensão é isolada por design, e a detecção é especialmente difícil se não houver alteração no documento principal.

Além de oferecer evasão aprimorada, o desenvolvimento de extensões de navegador também é simples, graças à extensa funcionalidade integrada e às permissões fornecidas pelas APIs dos navegadores modernos. A análise a seguir demonstra como as extensões facilitam o desenvolvimento de ataques complexos.

Dado o aumento de controle, persistência, recursos de evasão e facilidade de desenvolvimento que as extensões oferecem, a mudança das técnicas tradicionais "man-in-the-browser" para ataques baseados em extensão não é apenas compreensível, mas inevitável, na evolução dos ataques de navegador baseadas em ameaças.