A loja oficial de extensões do Chrome ainda passa uma sensação de segurança para muitos usuários. Afinal, trata-se de um ambiente controlado, ligado diretamente ao ecossistema do Google. No entanto, uma recente descoberta da empresa de segurança Socket mostra que essa confiança pode ser explorada com facilidade.
Pesquisadores identificaram uma campanha envolvendo 108 extensões maliciosas do Chrome, que já comprometeram mais de 20 mil usuários. O ataque é silencioso, sofisticado e altamente eficaz, permitindo o roubo de dados sensíveis, incluindo sessões ativas do Telegram Web e credenciais baseadas em OAuth2 do Google.
O cenário é preocupante porque essas extensões não apenas coletam informações, mas também conseguem assumir identidades digitais, colocando em risco contas pessoais, profissionais e até corporativas.
Como as extensões maliciosas operam no navegador
As extensões maliciosas do Chrome identificadas compartilham uma característica em comum: todas utilizam uma infraestrutura centralizada de comando e controle (C2). Isso permite que os operadores atualizem comportamentos remotamente, adaptem ataques e ampliem o alcance da campanha sem que o usuário perceba.
Essas extensões solicitam permissões amplas durante a instalação, o que abre caminho para monitorar navegação, interceptar dados e manipular requisições em tempo real.
O disfarce perfeito: jogos, ferramentas de tradução e otimizadores de vídeo
Para enganar usuários, os criminosos distribuíram extensões com aparência legítima. Entre os disfarces mais comuns estão jogos simples e casuais, ferramentas de tradução automática, extensões para melhorar desempenho de vídeos e otimizadores de streaming.
Esses aplicativos funcionam parcialmente como prometido, o que reduz suspeitas. No entanto, em segundo plano, executam scripts maliciosos que coletam dados constantemente.
Manipulação de cabeçalhos de segurança (CSP e CORS) no YouTube e TikTok
Um dos aspectos mais avançados da campanha é a manipulação de políticas de segurança como CSP (Content Security Policy) e CORS (Cross-Origin Resource Sharing).
Ao alterar esses cabeçalhos em sites populares como YouTube e TikTok, as extensões conseguem injetar scripts maliciosos, contornar restrições de origem e acessar dados protegidos do navegador. Esse tipo de ataque é especialmente perigoso porque quebra barreiras fundamentais de segurança da web.
O perigo real para usuários de Google e Telegram
O impacto das extensões maliciosas do Chrome vai muito além da coleta de dados básicos. O foco principal da campanha é o sequestro de sessões e identidades digitais.
Um dos métodos mais agressivos envolve o Telegram Web. As extensões capturam tokens de autenticação a cada 15 segundos, garantindo acesso contínuo às contas das vítimas, mesmo que elas tentem se desconectar.
Além disso, o uso de OAuth2 permite que os atacantes assumam contas do Google sem precisar de senha. Com esse acesso, eles podem ler e-mails, acessar documentos no Drive, interagir com serviços conectados e se passar pelo usuário em diferentes plataformas.
A investigação também revelou que várias extensões estavam associadas a editoras aparentemente legítimas, como Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, o que ajuda a dar credibilidade às extensões e dificulta a identificação da ameaça.
Lista de extensões identificadas e como removê-las
Entre as extensões maliciosas detectadas, algumas se destacam pela popularidade, como Telegram Multi-account, Teleside e Formula Rush Racing. Se você instalou qualquer extensão desconhecida recentemente, é fundamental agir imediatamente.
Passo a passo para remover extensões maliciosas
Abra o Chrome e digite chrome://extensions/ na barra de endereço. Ative o modo desenvolvedor e revise todas as extensões instaladas com atenção. Clique em Remover nas que você não reconhece e, em seguida, reinicie o navegador.
Como encerrar sessões do Telegram com segurança
Abra o Telegram no celular, vá em Configurações e acesse Dispositivos. Toque em Encerrar todas as outras sessões e ative a verificação em duas etapas para reforçar a segurança da sua conta.
Conclusão e dicas de prevenção
O caso das extensões maliciosas do Chrome reforça uma lição importante: nem tudo que está na loja oficial é seguro. A sofisticação dessas campanhas mostra que ataques modernos exploram confiança, não apenas falhas técnicas.
Para se proteger, instale apenas extensões realmente necessárias, verifique avaliações e histórico do desenvolvedor, desconfie de permissões excessivas, mantenha o navegador sempre atualizado e utilize autenticação em dois fatores.
A segurança digital começa com hábitos simples. Compartilhe este alerta com amigos e familiares para evitar que mais pessoas sejam vítimas desse tipo de ataque.
