Extensões maliciosas do Chrome são flagradas roubando dados corporativos, e-mails e histórico de navegação

O uso de extensões no navegador se tornou parte da rotina de profissionais de marketing, desenvolvedores e usuários corporativos. No entanto, novas descobertas mostram que esse recurso aparentemente inofensivo tem sido explorado por hackers para roubo de dados estratégicos, códigos de autenticação e até histórico completo de navegação.

Extensão voltada ao Meta Business roubava dados e códigos 2FA

Uma extensão chamada CL Suite by @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), publicada na Chrome Web Store em março de 2025, foi identificada como ferramenta de exfiltração de dados voltada a usuários do Meta, especialmente aqueles que utilizam o Meta Business Suite e o Facebook Business Manager.

A extensão prometia funcionalidades como extração de dados da plataforma, remoção de pop-ups de verificação e geração de códigos de autenticação de dois fatores (2FA). No entanto, análises técnicas apontaram que o código transmitia:

• Seeds de TOTP (códigos-base para geração de autenticação temporária)

• Códigos 2FA ativos

• Listas de contatos do Business Manager (nome, e-mail, permissões)

• Dados analíticos e informações de contas vinculadas

Esses dados eram enviados para a infraestrutura controlada pelo hacker por meio do domínio getauth[.]pro e, em alguns casos, redirecionados para canais privados no Telegram.

Embora a extensão tivesse apenas 33 usuários no momento da descoberta, o nível de acesso concedido era suficiente para identificar alvos de alto valor e preparar ataques direcionados posteriores.

Campanha VK Styles sequestra contas no VKontakte

Outro caso relevante envolve a rede social russa VKontakte. Uma campanha chamada VK Styles comprometeu cerca de 500 mil usuários por meio de extensões disfarçadas de ferramentas de personalização.

As extensões realizavam:

• Inscrição automática em grupos controlados pelos hackers

• Reset de configurações da conta a cada 30 dias

• Manipulação de tokens CSRF para burlar proteções da plataforma

• Controle persistente da conta

A operação foi associada a um perfil no GitHub identificado como 2vk, que utilizava técnicas avançadas para ocultar os links de payload em metadados HTML de perfis do próprio VK. O código malicioso recebia atualizações frequentes, demonstrando manutenção ativa e evolução contínua.

Extensões falsas de IA roubam e-mails e credenciais

Uma terceira campanha, chamada AiFrame, envolveu 32 extensões que se apresentavam como assistentes de inteligência artificial prometendo resumo de textos, geração de e-mails, tradução e suporte ao Gmail.

Entre as extensões identificadas estão:

• AI Assistant

• Llama

• Gemini AI Sidebar

• ChatGPT Sidebar

• Grok

• Google Gemini

Essas extensões somavam mais de 260 mil instalações.

A arquitetura maliciosa utilizava um iframe em tela cheia apontando para um domínio remoto (claude.tapnetic[.]pro), permitindo que os hackers injetassem funcionalidades adicionais sem necessidade de atualização oficial na Chrome Web Store.

Entre as capacidades identificadas estavam:

• Extração de conteúdo de páginas abertas

• Leitura de e-mails diretamente do DOM do Gmail

• Transcrição de voz via reconhecimento de fala

• Envio de dados capturados para servidores externos

Na prática, mensagens de e-mail e dados contextuais podiam sair do ambiente protegido do Gmail e serem enviados para infraestrutura controlada pelo operador da extensão.

287 extensões enviavam histórico de navegação para corretores de dados

Um relatório recente também identificou 287 extensões do Chrome responsáveis por exfiltrar histórico de navegação para empresas de data brokerage. Juntas, essas extensões acumulavam 37,4 milhões de instalações cerca de 1% da base global do navegador.

O modelo é simples: coletar o comportamento de navegação dos usuários e revendê-lo para plataformas de inteligência de mercado e publicidade.