A extensão falsa do Perplexity é o mais novo exemplo de como cibercriminosos estão explorando a popularidade da Inteligência Artificial para comprometer a privacidade dos usuários. Pesquisadores da Microsoft descobriram uma extensão maliciosa para o Google Chrome que se passava pelo Perplexity AI e era capaz de interceptar tudo o que era digitado na barra de endereços, caractere por caractere, antes mesmo que o usuário pressionasse Enter.
O caso chama a atenção porque demonstra uma evolução nas campanhas de distribuição de extensões maliciosas. Em vez de depender apenas do roubo de senhas ou da instalação de malwares tradicionais, os atacantes passaram a explorar recursos legítimos do navegador para capturar informações extremamente valiosas em tempo real. Isso significa que pesquisas, URLs acessadas, nomes de serviços internos e até consultas sensíveis poderiam ser coletados silenciosamente.
Como funcionava a extensão falsa do Perplexity
A investigação revelou que a extensão utilizava o nome “Search for perplexity ai”, tentando convencer os usuários de que se tratava de um complemento legítimo relacionado ao popular mecanismo de busca baseado em IA.
Além do nome enganoso, a campanha utilizava um ID específico da extensão e um domínio falso, perplexity-ai[.]online, que simulava a identidade visual do serviço verdadeiro para aumentar sua credibilidade e reduzir a desconfiança das vítimas.
O objetivo não era apenas alterar o mecanismo de busca padrão, mas também transformar a própria barra de endereços em um canal permanente de coleta de dados.
O perigo da captura caractere por caractere na extensão falsa do Perplexity
O aspecto mais sofisticado do ataque estava na manipulação da diretiva suggest_url, um recurso existente nos navegadores baseados em Chromium.
Normalmente, essa funcionalidade é utilizada pelos provedores de pesquisa para oferecer sugestões automáticas enquanto o usuário digita. Entretanto, os criminosos modificaram esse comportamento para que cada caractere digitado fosse enviado imediatamente para um servidor controlado pelos atacantes.
Na prática, isso significa que o usuário não precisava concluir uma pesquisa nem pressionar Enter. Cada letra digitada era transmitida quase em tempo real.
Esse método amplia significativamente o potencial de espionagem porque permite capturar:
- Pesquisas inacabadas;
- Endereços internos de empresas;
- Consultas sensíveis;
- URLs parcialmente digitadas;
- Hábitos de navegação;
- Informações que normalmente jamais seriam enviadas caso o usuário apagasse o texto antes de concluir a pesquisa.
Por ocorrer durante a digitação, essa interceptação é muito mais difícil de ser percebida pelos usuários.
Abuso de permissões e WebAssembly
Outro ponto que chamou a atenção dos pesquisadores foi o conjunto de permissões solicitado pela extensão.
Ela utilizava a permissão declarativeNetRequest, originalmente criada para permitir que extensões modifiquem solicitações de rede de maneira controlada.
Embora essa permissão seja legítima e utilizada por diversos bloqueadores de anúncios, ela pode ser explorada por agentes maliciosos quando combinada com outras técnicas.
Além disso, a análise identificou o uso de WebAssembly (Wasm).
O WebAssembly é uma tecnologia desenvolvida para executar código de alto desempenho dentro do navegador. Seu uso, por si só, não representa uma ameaça, mas pode dificultar análises de segurança e oferecer espaço para a execução de rotinas complexas e potencialmente maliciosas.
Segundo a Microsoft, esse tipo de arquitetura permite que futuras versões da campanha adicionem novos recursos sem alterar significativamente a estrutura principal da extensão, aumentando sua capacidade de evasão.
O “hype” da inteligência artificial como isca digital
A extensão falsa do Perplexity faz parte de uma tendência cada vez mais evidente no cenário da cibersegurança.
Ferramentas populares de IA generativa passaram a ser utilizadas como iscas para golpes digitais. O enorme interesse do público por soluções como Perplexity AI, ChatGPT, DeepSeek, Claude e outras plataformas cria um ambiente perfeito para campanhas fraudulentas.
A própria Microsoft informou que identificou aproximadamente 900 mil instalações relacionadas a falsos complementos associados a ferramentas de IA, principalmente imitando serviços como ChatGPT e DeepSeek.
Os criminosos exploram fatores psicológicos conhecidos, como curiosidade, urgência e medo de perder novidades tecnológicas. Muitos usuários procuram recursos exclusivos, versões premium gratuitas ou funcionalidades ainda não lançadas oficialmente, tornando-se alvos fáceis para campanhas desse tipo.
Essa estratégia mostra que os ataques modernos dependem cada vez menos de vulnerabilidades técnicas e cada vez mais da engenharia social, explorando a confiança dos usuários em marcas reconhecidas.
Como se proteger da extensão falsa do Perplexity e limpar o navegador
Embora a campanha tenha sido identificada e analisada, o caso serve como alerta para qualquer usuário de Google Chrome ou navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi.
Algumas medidas simples podem reduzir significativamente os riscos.
Antes de instalar qualquer extensão:
- Verifique o desenvolvedor da extensão.
- Confirme se o domínio é o oficial da empresa.
- Leia as avaliações, mas desconfie de comentários excessivamente positivos ou repetitivos.
- Observe as permissões solicitadas.
- Evite instalar extensões apenas porque prometem recursos exclusivos de IA.
Caso exista qualquer suspeita de instalação da extensão maliciosa:
- Abra a página de gerenciamento de extensões do navegador.
- Procure por complementos desconhecidos ou instalados recentemente.
- Remova imediatamente qualquer extensão suspeita.
- Verifique se o provedor de pesquisa padrão foi alterado.
- Confirme se não existem mecanismos de busca desconhecidos configurados.
- Reinicie o navegador após a remoção.
- Execute uma verificação com uma solução de segurança confiável.
Também é recomendável revisar periodicamente todas as extensões instaladas. Muitos usuários acumulam dezenas de complementos ao longo do tempo e acabam esquecendo quais realmente utilizam.
Quanto menor o número de extensões instaladas, menor será a superfície de ataque disponível para campanhas desse tipo.
O alerta reforça a importância da privacidade digital
A descoberta da Microsoft mostra que as extensões continuam sendo um dos vetores de ataque mais perigosos dentro dos navegadores modernos. Embora ofereçam praticidade e recursos adicionais, elas também possuem acesso privilegiado ao ambiente de navegação, tornando-se alvos frequentes para campanhas de espionagem.
O caso da extensão falsa do Perplexity evidencia como recursos legítimos do Chromium, como o suggest_url e permissões avançadas, podem ser explorados de forma criativa para comprometer a privacidade dos usuários sem a necessidade de explorar vulnerabilidades tradicionais.
À medida que ferramentas de Inteligência Artificial ganham popularidade, é provável que golpes semelhantes continuem surgindo utilizando nomes conhecidos para enganar vítimas. Por isso, verificar cuidadosamente a origem das extensões, analisar suas permissões e manter uma postura crítica antes da instalação são medidas fundamentais para proteger seus dados.
