Um grupo de cibercriminosos está por trás da criação de mais de 100 extensões maliciosas para o navegador Google Chrome desde fevereiro de 2024. Essas extensões, que se apresentam como ferramentas úteis — como serviços de VPN, assistentes para anúncios, utilitários financeiros e até aplicativos de criptomoedas — escondem funcionalidades perigosas que permitem o roubo de credenciais, sequestro de sessões e a injeção de anúncios indesejados.
Mais de 100 extensões falsas do Chrome detectadas roubando dados e sequestrando sessões
De acordo com um relatório da equipe do DomainTools Intelligence (DTI) compartilhado com o The Hacker News, esses criminosos criam sites falsos que simulam serviços legítimos para enganar os usuários e direcioná-los a instalar essas extensões na Chrome Web Store (CWS). Embora aparentem funcionar normalmente, as extensões abusam das permissões concedidas para interceptar cookies, executar códigos arbitrários, modificar páginas visitadas e até redirecionar o usuário para sites fraudulentos.
Funcionamento e técnicas usadas pelas extensões maliciosas
Essas extensões maliciosas utilizam o arquivo manifest.json para solicitar permissões amplas, o que lhes permite atuar em qualquer site que o usuário visite. Além disso, empregam o evento “onreset” no Document Object Model (DOM) para executar códigos e tentar contornar as restrições impostas pela política de segurança de conteúdo (Content Security Policy – CSP).
Entre os nomes falsos usados para atrair usuários estão produtos que soam confiáveis, como DeepSeek, Manus, DeBank, FortiVPN e Site Stats. Após a instalação, essas extensões coletam dados sensíveis, como cookies de navegador, e estabelecem conexões WebSocket que funcionam como proxies, roteando o tráfego da vítima através de servidores controlados pelos invasores.
Como as vítimas são alvo dessas extensões
Embora ainda não seja totalmente claro o método exato de redirecionamento dos usuários para esses sites falsos, a análise da DomainTools sugere que técnicas comuns como phishing, manipulação em redes sociais e anúncios pagos são utilizados para atrair vítimas. A presença de IDs de rastreamento do Facebook em muitos desses sites indica que eles exploram ferramentas da Meta para segmentar seus alvos, possivelmente via páginas, grupos e campanhas publicitárias na plataforma.
Essas extensões maliciosas aparecem tanto na Chrome Web Store quanto em sites adjacentes, o que faz com que sejam exibidas em pesquisas comuns no Google e dentro da loja oficial de extensões, aumentando o alcance dos ataques.
Medidas recomendadas para proteger sua navegação
Para minimizar os riscos, especialistas recomendam baixar extensões apenas de desenvolvedores confiáveis e certificados. Além disso, é fundamental conferir cuidadosamente as permissões solicitadas antes da instalação, ler avaliações de outros usuários e evitar extensões que apresentem funcionalidades duplicadas ou suspeitas.
Contudo, é importante ter cautela com as avaliações, pois há indícios de que cibercriminosos manipulem as notas, enviando usuários insatisfeitos para páginas de feedback privadas, enquanto direcionam quem deixa avaliações positivas para a página oficial da extensão na Chrome Web Store. Essa estratégia foi identificada especialmente em extensões como o falso DeepSeek.
Conclusão
Até o momento, a identidade dos responsáveis por essa ampla campanha permanece desconhecida, mas o Google já removeu muitas dessas extensões da Chrome Web Store. Manter-se informado e adotar práticas seguras ao instalar complementos no navegador é essencial para proteger dados pessoais e evitar que seu navegador seja explorado por agentes maliciosos.
