Visualização de leitura

↗️

Chrome: extensões fingem ser IA e roubam dados de 300 mil usuários

✇Tecnoblog
Por:Marina Borges
Ilustração com a marca do Google Chrome
Mais de 300 mil usuários instalaram extensões maliciosas no Chrome (Imagem: Vitor Pádua/Tecnoblog)
Resumo

Extensões de navegador que se apresentam como ferramentas de inteligência artificial estão sendo usadas para roubar credenciais, conteúdos de email e dados de navegação de usuários. A campanha envolve ao menos 30 extensões maliciosas publicadas na Chrome Web Store, muitas delas disfarçadas como assistentes de IA, tradutores ou barras laterais inspiradas em serviços populares.

A descoberta foi feita por pesquisadores da plataforma de segurança LayerX, que identificaram que todos os complementos fazem parte de uma mesma operação, batizada de AiFrame. Mesmo após a remoção de algumas extensões mais populares, outras continuam disponíveis para download e somam dezenas de milhares de instalações ativas.

Como funcionam as extensões disfarçadas de IA?

Segundo a LayerX, todas as extensões analisadas compartilham a mesma estrutura interna, permissões semelhantes e um backend comum, vinculado a um único domínio externo. Apesar de prometerem recursos avançados de IA, nenhuma delas executa processamento local de inteligência artificial.

Na prática, essas extensões carregam, em tela cheia, um iframe que simula a funcionalidade prometida. Esse modelo permite que os responsáveis alterem o comportamento do complemento a qualquer momento, sem precisar submeter novas versões à revisão da loja do Google.

Em segundo plano, o código passa a extrair o conteúdo das páginas visitadas pelo usuário, inclusive telas sensíveis de autenticação. Para isso, utiliza bibliotecas conhecidas para leitura de texto em páginas web. Em alguns casos, o foco é ainda mais específico: metade das extensões identificadas possui scripts dedicados ao Gmail.

Esses scripts são executados logo no início do carregamento do email e conseguem ler diretamente o conteúdo visível das mensagens. Isso inclui textos completos de conversas e até rascunhos ainda não enviados. Quando funções supostamente ligadas à IA são acionadas, esses dados acabam sendo enviados para servidores externos controlados pelos operadores do esquema.

Confira os nomes de algumas extensão identificadas pelo site especializado Bleeping Computer, seguidos da identificação na loja do Chrome:

  1. AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe)
  2. AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp)
  3. ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe)
  4. AI GPT (kblengdlefjpjkekanpoidgoghdngdgl)
  5. ChatGPT (llojfncgbabajmdglnkbhmiebiinohek)
  6. AI Sidebar (djhjckkfgancelbmgcamjimgphaphjdl)
  7. Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb)
Imagem mostra um cadeado azul fechado, centralizado sobre um fundo abstrato em tons de cinza e azul claro, com formas geométricas que sugerem tecnologia e segurança digital. No canto inferior direito, a marca d'água "Tecnoblog" é visível.
Extensões maliciosas podiam capturar credenciais e conteúdo de e-mails (ilustração: Vitor Pádua/Tecnoblog)

Quais dados podem ser capturados dos usuários?

O alcance da coleta vai além de emails. Dependendo das permissões concedidas, algumas extensões ativam recursos de reconhecimento de voz por meio da Web Speech API, gerando transcrições que também são enviadas aos servidores remotos.

A LayerX resume o risco de forma direta: “o texto das mensagens de email e dados contextuais relacionados podem ser enviados para fora do dispositivo, fora do limite de segurança do Gmail, para servidores remotos”.

Especialistas recomendam que usuários revisem extensões instaladas, removam qualquer complemento suspeito e redefinam senhas caso identifiquem sinais de comprometimento. A Bleeping Computer entrou em contato com o Google, mas, até a publicação desta matéria, a empresa ainda não havia se pronunciado.

Chrome: extensões fingem ser IA e roubam dados de 300 mil usuários

Google Chrome (Imagem: Vitor Pádua/Tecnoblog)

Segurança digital (ilustração: Vitor Pádua/Tecnoblog)
  •  
  • ↗️
↗️

Google Chrome: extensões maliciosas roubavam dados de usuários

✇Tecnoblog
Por:Gabriel Sérvio
Ilustração com a marca do Google Chrome
Extensões utilizavam táticas avançadas para roubo de dados sensíveis (imagem: Vitor Pádua/Tecnoblog)
Resumo
  • Pesquisadores da Symantec identificaram extensões maliciosas na Chrome Web Store, afetando mais de 100 mil usuários.
  • As extensões Good Tab, Children Protection, DPS Websafe e Stock Informer permitiam roubo de senhas e rastreamento de navegação.
  • Google removeu as extensões Children Protection e DPS Websafe, mas Good Tab e Stock Informer ainda estavam disponíveis até a última atualização.

Pesquisadores de segurança da Symantec identificaram mais extensões maliciosas operando dentro da Chrome Web Store, a loja oficial do Google Chrome. O relatório técnico aponta que as ameaças comprometem mais de 100 mil usuários.

Os riscos identificados variam desde práticas de monetização enganosas até atividades como o sequestro de pesquisas (search hijacking), rastreamento de navegação, roubo de cookies para sequestro de sessão e até execução remota de código JavaScript.

Quais são as extensões maliciosas?

O relatório detalha quatro extensões principais:

  • Good Tab
  • Children Protection
  • DPS Websafe
  • Stock Informer

A extensão Good Tab apresenta-se como uma página de nova aba personalizável. Internamente, o software pode conceder permissões de leitura e gravação na área de transferência a um domínio externo. Na prática, isso permite que criminosos monitorem senhas copiadas ou alterem endereços de carteiras de criptomoedas durante transações financeiras.

O Children Protection é uma ferramenta de controle parental. O software, porém, pode coletar e enviar cookies de navegação para servidores remotos. Para garantir o sucesso da invasão, a ferramenta utiliza um algoritmo de geração de domínio (DGA) contra tentativas de desativação, permitindo que atacantes executem códigos em qualquer aba aberta pelo usuário.

Nova onda de extensões maliciosas no Chrome afeta mais de 100 mil usuários
Falha permitia interceptar até senhas e chaves de criptomoedas (imagem: Gabriel Sérvio/Tecnoblog)

Já a extensão DPS Websafe utilizava táticas de falsificação de marca (brand spoofing) ao adotar ícones do conhecido bloqueador Adblock Plus para enganar o público. Uma vez instalada, ela alterava o mecanismo de busca padrão para um domínio controlado pelos atacantes e rastreava a atividade de navegação sem qualquer consentimento.

Por fim, a Stock Informer também apresenta uma vulnerabilidade de Cross-Site Scripting (XSS), que permite a execução de códigos por terceiros devido a falhas na verificação de mensagens internas.

Campanha explora API do Chrome

Esse novo alerta surge em um momento de vulnerabilidades crescentes entre os navegadores. Diferente de casos recentes que envolveram extensões de espionagem distribuídas também para Firefox e Microsoft Edge, esta campanha específica foca em explorar a arquitetura e as permissões de API do Chrome.

O Google já removeu as extensões Children Protection e DPS Websafe. Os softwares Good Tab e Stock Informer, no entanto, continuavam disponíveis para download até a última atualização desta matéria.

A orientação dos especialistas é verificar os complementos instalados e desinstalar qualquer item que não seja essencial, além de priorizar desenvolvedores de reputação estabelecida.

Google Chrome: extensões maliciosas roubavam dados de usuários

Google Chrome (Imagem: Vitor Pádua/Tecnoblog)

(imagem: Gabriel Sérvio/Tecnoblog)
  •  
  • ↗️