Extensões maliciosas do Chrome são usadas para roubar dados corporativos, e-mails e histórico de navegação
O uso de extensões em navegadores se tornou parte essencial do dia a dia de profissionais de marketing, equipes de TI, desenvolvedores e usuários corporativos em geral. Elas prometem produtividade, automação e praticidade, mas investigações recentes mostram que muitas dessas ferramentas estão sendo exploradas como porta de entrada para espionagem digital, roubo de credenciais e coleta massiva de dados sensíveis — inclusive em ambientes empresariais considerados críticos.
Em vez de apenas adicionar funções úteis ao navegador, algumas extensões passam a atuar como verdadeiros keyloggers e ferramentas de exfiltração de informações, com acesso privilegiado a plataformas de anúncios, contas de redes sociais, e-mails, histórico de navegação e até códigos de autenticação de dois fatores (2FA). Na prática, o que deveria ser um simples complemento vira um ponto cego na segurança das organizações.
Extensão voltada ao Meta Business roubava dados e códigos 2FA
Um dos casos mais graves identificados recentemente envolve uma extensão chamada “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), publicada na Chrome Web Store em março de 2025. A ferramenta era direcionada a usuários do ecossistema Meta, em especial administradores do Meta Business Suite e do Facebook Business Manager, ou seja, pessoas que costumam ter acesso a contas de anúncios, páginas corporativas e informações estratégicas de negócios.
A promessa comercial da extensão era sedutora: facilidades para extrair dados da plataforma, remoção de pop-ups de verificação incômodos e até geração de códigos de autenticação de dois fatores (2FA) diretamente no navegador. No entanto, análises técnicas revelaram que o código ia muito além do que era anunciado.
Entre os dados capturados pela CL Suite estavam:
– Seeds de TOTP, ou seja, as chaves-base utilizadas para gerar códigos temporários de autenticação
– Códigos 2FA ativos utilizados na proteção de contas
– Listas completas de contatos do Business Manager, incluindo nome, endereço de e-mail e nível de permissão
– Métricas analíticas e detalhes de contas vinculadas ao ambiente de negócios
Essas informações eram enviadas para uma infraestrutura controlada pelos operadores da ameaça por meio do domínio getauth[.]pro. Em determinados cenários, os dados ainda eram redirecionados para canais privados em serviços de mensagens, ampliando a capacidade de distribuição e coordenação dos ataques.
Embora, no momento da descoberta, a extensão contasse com “apenas” 33 usuários, o nível de acesso concedido a ela tornava possível mapear administradores de alto valor, identificar contas com grande investimento em mídia paga e, a partir disso, preparar golpes direcionados, sequestro de perfis comerciais e fraudes financeiras complexas.
Campanha VK Styles toma controle de contas no VKontakte
Outra operação de grande escala ocorreu na rede social russa VKontakte (VK), por meio de uma campanha batizada de “VK Styles”. Nessa ofensiva, extensões disfarçadas de ferramentas de personalização de interface foram usadas para comprometer cerca de 500 mil contas de usuários.
Uma vez instaladas, essas extensões passavam a executar uma série de ações não autorizadas, incluindo:
– Inscrição automática dos perfis afetados em grupos controlados pelos criminosos
– Reset periódico das configurações da conta, a cada 30 dias, garantindo que o controle permanecesse nas mãos dos atacantes
– Manipulação de tokens CSRF, permitindo burlar mecanismos de proteção da própria plataforma
– Manutenção de acesso persistente, mesmo após ações de segurança básicas por parte do usuário
A campanha foi atribuída a um perfil identificado em uma plataforma de desenvolvimento de software com o nome “2vk”. Esse ator utilizava técnicas engenhosas para esconder os links maliciosos: em vez de URLs expostas, os payloads eram camuflados em metadados HTML em perfis dentro do próprio VK. Isso dificultava a detecção automática e demonstrava cuidado técnico na operação.
O código malicioso era atualizado com frequência, recebendo novas funcionalidades e correções. Esse ciclo constante de manutenção revela que não se tratava de um ataque pontual, mas de uma campanha estruturada, em evolução contínua, voltada ao controle em massa de contas e à potencial manipulação de audiências dentro da rede social.
Extensões falsas de IA roubam e-mails, dados de navegação e credenciais
Uma terceira frente de ataque explora o enorme interesse por inteligência artificial. Sob o nome de campanha “AiFrame”, 32 extensões se apresentavam como assistentes de IA capazes de resumir textos, gerar e-mails, traduzir conteúdos e auxiliar no uso do Gmail e de outros serviços online. À primeira vista, tudo parecia legítimo, com descrições alinhadas às tendências atuais de produtividade com IA.
Entre os nomes usados estavam:
– AI Assistant
– Llama
– Gemini AI Sidebar
– ChatGPT Sidebar
– Grok
– Google Gemini
Somadas, essas extensões ultrapassavam 260 mil instalações, o que dá uma dimensão do alcance potencial da campanha.
A arquitetura maliciosa por trás dessas ferramentas utilizava um iframe em tela cheia apontando para um domínio remoto (claude.tapnetic[.]pro). Essa abordagem permitia que os operadores incluíssem ou atualizassem funcionalidades prejudiciais sem precisar enviar novas versões à Chrome Web Store. Em outras palavras, mesmo que o código inicial parecesse inofensivo, o comportamento podia ser alterado a qualquer momento a partir do servidor remoto.
Entre as capacidades identificadas estavam:
– Extração de conteúdo de qualquer página web aberta no navegador
– Leitura direta de e-mails exibidos na interface do Gmail, por meio da manipulação do DOM
– Captação e transcrição de áudio via reconhecimento de fala no navegador
– Envio de todo o conteúdo capturado para servidores externos controlados pelos atacantes
Na prática, conversas inteiras, anexos, rascunhos de e-mail e dados sensíveis presentes na caixa de entrada podiam sair silenciosamente do ecossistema protegido do provedor de e-mail e serem copiados para infraestrutura gerenciada pelos criminosos.
287 extensões espionavam o histórico de navegação
Além dos casos claramente maliciosos direcionados a roubo de contas e sequestro de perfis, um relatório recente identificou um fenômeno mais “cinza”, porém igualmente preocupante do ponto de vista de privacidade: 287 extensões do Chrome estavam enviando o histórico de navegação dos usuários para empresas especializadas em comercialização de dados.
Ao todo, essas extensões somavam cerca de 37,4 milhões de instalações — o equivalente a aproximadamente 1% de toda a base global do navegador. Muitas eram apresentadas como utilitários simples, agregadores de cupons, medidores de produtividade ou ferramentas de customização da experiência online.
O modelo de negócio por trás desse ecossistema é relativamente simples: monitorar o comportamento de navegação dos usuários, mapear padrões de consumo, interesses, sites visitados e tempo gasto em cada página, e então revender esses dados para plataformas de inteligência de mercado e publicidade segmentada. Ainda que algumas dessas práticas sejam cobertas por termos de uso pouco claros, do ponto de vista do usuário final a sensação é de vigilância constante.
Em ambientes corporativos, esse tipo de coleta pode expor:
– Sites internos acessados por colaboradores
– Ferramentas de gestão de projetos e documentos utilizados pela empresa
– Rotinas de acesso a bancos, ERPs, CRMs e outros sistemas críticos
– Fluxos de trabalho e horários de maior atividade de determinados times
Essas informações, combinadas com outros vazamentos, podem servir de base para ataques de engenharia social altamente personalizados, ataques de phishing direcionados e até espionagem corporativa.
Por que extensões são tão perigosas em ambientes corporativos
Extensões de navegador gozam de um nível de confiança que muitos softwares tradicionais não têm. Uma vez instaladas, podem ler e modificar o conteúdo das páginas acessadas, injetar scripts, monitorar cliques e registrar dados que passam pelo navegador — inclusive logins, tokens de sessão e informações de formulários.
Do ponto de vista de uma empresa, isso significa que:
– Um único colaborador instalando uma extensão maliciosa pode comprometer toda uma conta corporativa de anúncios, redes sociais ou e-mail
– Ferramentas de segurança focadas apenas em endpoint ou rede podem não detectar comportamentos maliciosos que ocorrem dentro do navegador
– A linha entre extensão “útil” e spyware é, muitas vezes, sutil e escondida em linhas de código que usuários comuns não conseguem avaliar
Além disso, criminosos digitais passaram a explorar tendências de mercado (como IA generativa e automação de marketing) para criar extensões com apelo legítimo, aumentando drasticamente a taxa de instalação voluntária.
Como reduzir o risco: boas práticas para usuários e empresas
Para usuários corporativos e gestores de TI, algumas medidas ajudam a diminuir significativamente o risco associado ao uso de extensões:
1. Política de whitelisting
Em vez de permitir qualquer extensão, a empresa define uma lista de extensões aprovadas, previamente analisadas pela equipe de segurança.
2. Revisão periódica de extensões instaladas
Auditar, pelo menos trimestralmente, quais extensões estão instaladas nos navegadores corporativos e remover tudo que for desnecessário ou suspeito.
3. Menos é mais
Reduzir ao mínimo o número de extensões. Cada novo complemento é uma superfície extra de ataque.
4. Verificação de permissões
Antes de instalar, observar com atenção as permissões solicitadas. Extensões que pedem acesso total a sites, leitura e alteração de dados ou leitura de e-mails devem ser avaliadas com extremo cuidado.
5. Segregação de contas
Evitar misturar contas pessoais e corporativas no mesmo navegador. O ideal é utilizar perfis separados ou até navegadores distintos para contextos diferentes.
6. Educação e treinamento
Instruir equipes sobre riscos de extensões “milagrosas”, especialmente as que prometem burlar verificações de segurança, gerar códigos 2FA ou automatizar ações sensíveis em plataformas de anúncios e redes sociais.
O papel dos desenvolvedores e da própria Chrome Web Store
Embora as lojas oficiais de extensões adotem mecanismos de revisão, os casos recentes demonstram que criminosos conseguem, com frequência, publicar extensões maliciosas ou transformar extensões legítimas em maliciosas após obter o controle da conta do desenvolvedor.
Do lado de quem desenvolve, é fundamental:
– Implementar autenticação forte e proteção contra sequestro de contas de desenvolvedor
– Garantir transparência nas permissões e no uso de dados coletados
– Evitar integrações desnecessárias que ampliem a superfície de ataque
Para as plataformas de distribuição de extensões, a tendência é reforçar mecanismos automatizados de análise de comportamento, detecção de exfiltração de dados e revisão contínua, não apenas no momento da publicação.
IA como isca e como vetor de ataque
O caso AiFrame ilustra um movimento mais amplo: extensões baseadas em inteligência artificial passaram a ser uma das iscas favoritas de atacantes. A curiosidade e a pressa em testar novos recursos de IA levam muitos usuários a instalar extensões sem olhar com atenção quem é o desenvolvedor, quais permissões são pedidas e para onde o tráfego é enviado.
Isso cria um cenário em que:
– Ferramentas de IA com nomes parecidos com serviços legítimos são usadas para enganar usuários desatentos
– A confiança depositada em “assistentes inteligentes” abre espaço para que informações extremamente sensíveis sejam compartilhadas dentro da própria interface da extensão
– O limite entre uma extensão de IA legítima que coleta dados para melhorar o serviço e uma extensão abertamente maliciosa se torna difícil de perceber para o usuário final
Empresas que estão adotando intensivamente soluções de IA precisam, portanto, incluir o tema “extensões de IA” em suas políticas internas de segurança, tratando essas ferramentas com o mesmo rigor aplicado a outros softwares de terceiros.
Extensões e conformidade regulatória
Outro ponto muitas vezes ignorado é o impacto dessas práticas em requisitos legais e regulatórios. Quando uma extensão exfiltra dados de clientes, colaboradores ou parceiros, a organização pode estar violando normas de proteção de dados, mesmo sem ter plena consciência do incidente.
Dependendo do tipo de dado e da jurisdição, isso pode resultar em:
– Obrigações de notificação de incidentes de segurança
– Processos administrativos e multas
– Danos à reputação da empresa e perda de confiança de clientes e stakeholders
Por isso, a gestão de extensões de navegador não deve ser vista apenas como um problema técnico, mas também como um tema de governança, compliance e risco reputacional.
Caminho para frente: de “acessório” a ativo crítico de segurança
A cultura de instalar extensões como se fossem apenas acessórios inofensivos precisa ser revista. Em um cenário em que criminosos conseguem roubar seeds de TOTP, códigos 2FA, listas de contatos corporativos, e-mails completos e histórico detalhado de navegação, o navegador deixa de ser apenas uma porta de acesso à internet para se tornar um dos principais alvos na cadeia de ataque.
Organizações que tratam a gestão de extensões com a mesma seriedade que tratam antivírus, VPNs e políticas de senha saem na frente na proteção de seus ativos digitais. O desafio agora é alinhar usuários, equipes de TI, desenvolvedores e gestores de negócio em torno de uma visão clara: cada extensão instalada é uma decisão de risco — e precisa ser tratada como tal.