Blog

Como extensões web podem prejudicar seu site (INFIRC[.]com e INFIRD[.]com)

Os domínios infirc[.]com e infird[.]com causaram bastante agitação recentemente e destacaram os perigos de extensões web infectadas ou mal

Oct 18, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Os domínios infirc[.]com e infird[.]com causaram bastante agitação recentemente e destacaram os perigos de extensões web infectadas ou maliciosas.

O Infirc[.]com foi observado pela primeira vez chegando ao nosso backend aparecendo como cabeçalho referer, mesmo não sendo hospedado ou referenciado pelo nosso site.

Nosso diretório público de domínios indexou o domínio logo em seguida, e nosso mecanismo de detecção interno o sinalizou como potencialmente malicioso.

Entrada do diretório da cside analisando o domínio recém-registrado infirc.com

Acesse esta página em nosso diretório.

Infirc[.]com é um domínio recém-registrado sem propósito claro ou reputação estabelecida.

Algumas semanas depois, notamos um aumento significativo nas impressões e cliques de pesquisa nesta página, indicando que as pessoas estavam pesquisando este domínio. Isso nos levou a investigar mais profundamente.

Gráfico do Search Console mostrando o aumento de impressões para consultas de infirc.com

Um domínio malicioso dentro de uma extensão web (plugin)

De acordo com a fonte, sugere-se que o script foi encontrado no cside, mas não estamos infectados. A única outra possibilidade são visitas de um navegador com uma extensão web que tenta injetar código.

Em alguns casos, IDs de extensão são vazados. Neste caso, não conseguimos encontrar um.

Se a extensão web de alguém estiver infectada, ou um invasor criar uma, elas podem ser usadas para atacar sites. Por exemplo, você tem um site de e-commerce que permite aos visitantes criar contas e realizar transações. Um visitante com uma extensão web infectada compra um produto. Nesse processo, seus dados pessoais e detalhes financeiros são capturados pelo script malicioso de terceiros dentro da extensão infectada.

Alternativamente, uma extensão maliciosa usa tráfego de bots para capturar qualquer tipo de informação que não deveria acessar.

Notamos um influxo de solicitações de proxy originadas de diferentes endereços IP ao redor do mundo, incluindo:

República Tcheca
China
Londres (via VPN)
Japão

Os logs de 17 de setembro de 2024 mostram o primeiro rastro de infirc[.]com fazendo solicitações ao nosso backend. Com o passar do tempo, especialmente por volta de 13 de outubro de 2024, observamos 145 solicitações de proxy direcionadas a este domínio em um único dia.

Cada solicitação apresentava um user agent distinto e diferente, dificultando a identificação de uma única fonte de atividade. Provavelmente tráfego gerado por bots ou um ataque coordenado através de uma variedade de user agents e VPNs.

Em 15 de outubro, capturamos e indexamos infird[.]com, que mostrou similaridade.

Entrada do diretório da cside analisando o domínio recém-registrado infird.com

Acesse esta página em nosso diretório.

Os scripts maliciosos carregados pelos domínios

Investigando mais a fundo revelou uma rede complexa de scripts, extensões e domínios externos. Tanto infirc[.com] quanto infird[.com] hospedam o mesmo script, como pode ser visto em ambas estas páginas:

Ambos os scripts referenciavam AliExpress e outro domínio, rano[.]info. Este último poderia ser um domínio de ingestão usado para coletar, processar ou receber dados de fontes externas.

A análise dos scripts revelou tentativas de contornar mecanismos comuns de detecção. Como destacado pela revisão técnica, ambos os domínios carregam scripts externos de fontes não confiáveis como:

zurano[.]info/zimblat?i=7OB7CVF5V7&atr=477978779O domínio zurano[.]info foi sinalizado como nem legítimo nem associado a quaisquer serviços confiáveis.

O script também foi visto transmitindo dados para outros servidores externos, incluindo:

https://overbridgenet[.]com/jsv8/offer
Google Analytics via Measurement Protocol: https://www.google-analytics[.]com/mp/collect

Este comportamento indica que infirc[.]com não está apenas facilitando o carregamento de scripts não autorizados, mas também enviando dados para vários servidores externos, possivelmente para rastrear usuários ou manipular análises.

Duas funções, _0xfc929c() e _0x1238ee(), foram identificadas no código, sugerindo que o script pode estar tentando:

Redirecionar usuários para URLs diferentes.
Modificar links ou interações na página sem o consentimento do usuário.

Este tipo de comportamento mostra uma possível tentativa de alterar a experiência de navegação dos usuários ou de fazer phishing de informações sensíveis redirecionando-os para sites maliciosos.

O script inclui verificações específicas para evitar execução em ambientes particulares, como plataformas como Google, Bing e outras redes sociais, para evitar detecção em ambientes de alto perfil e bem defendidos.

CSPs são amplamente usados como uma primeira camada de proteção contra ataques do lado do cliente, incluindo estes. Os invasores sabem sobre eles e podem facilmente contorná-los. Não dependemos de CSPs e conseguimos detectá-lo.

Como proteger seu site

Por favor, verifique seu código para qualquer referência a estes domínios e remova-os. No entanto, este é quase certamente um script malicioso de terceiros que está tentando ser injetado de fora.

Podemos bloquear essas tentativas. Embora seja importante mencionar que se os invasores souberem sobre a presença do cside, eles também podem nos contornar. Este é um ataque vindo do navegador de um visitante, não código malicioso de terceiros já presente em seu próprio site. Ainda somos capazes de detectar e informá-lo sobre as tentativas dos invasores, incluindo compartilhar informações cruciais como IPs e horário das tentativas.

Quaisquer scripts de terceiros presentes em seu site que estejam comprometidos, podemos detectar e bloquear antes que sejam executados no navegador de seus visitantes. Protegendo-os, e você, de atores maliciosos.

Ao usar nosso plano gratuito, você está protegido deste e de outros ataques similares.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Extensões injetam scripts em cada página que o usuário visita. Dois domínios que rastreamos — infirc.com e infird.com — eram carregados por uma extensão e apareciam em nossas analytics como tráfego de referer falso parecendo um ataque ao nosso site.

Compare o padrão do cabeçalho referer com uma única origem. O tráfego de extensões aparece em vários user agents e IPs sem origem consistente. Ferramentas de diretório de domínios como cside.com/domains ajudam a correlacionar rapidamente a fonte suspeita.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.

Distintivo SourceForge Spring 2026 Top Performer junto de um gráfico de dashboard cside

cside nomeada SourceForge Spring 2026 Top Performer em segurança do lado do cliente

A cside foi nomeada SourceForge Spring 2026 Top Performer, sinal de confiança dos utilizadores em segurança do lado do cliente.