Uma nova campanha de cibercrime está colocando milhões de usuários em risco ao explorar falhas de confiança dentro da Chrome Web Store. Pesquisadores da Socket identificaram mais de 100 extensões aparentemente legítimas que escondem códigos maliciosos capazes de roubar dados sensíveis e assumir contas online.
Essas extensões fazem parte de uma operação estruturada de Malware como Serviço (MaaS), onde ferramentas prontas são usadas por criminosos para invadir contas do Google e sequestrar sessões do Telegram. O cenário é preocupante, pois envolve técnicas avançadas que passam despercebidas pela maioria dos usuários.
Como as extensões perigosas operam no Chrome
A campanha identificada pela Socket utiliza servidores de comando e controle hospedados na Contabo para coordenar os ataques. Após a instalação, as extensões se conectam a esses servidores e começam a executar instruções remotamente.
O que torna esse ataque tão eficaz é o disfarce. As extensões se apresentam como ferramentas comuns e úteis, como:
- Tradutores de texto
- Jogos simples
- Extensões de produtividade
- Utilitários de navegação
Na prática, o usuário instala algo funcional, mas junto vem um código oculto que monitora sua atividade e coleta informações sensíveis.
Esse tipo de ameaça reforça o crescimento do chamado malware distribuído via extensões, um vetor cada vez mais explorado dentro do ecossistema do Google Chrome.
O perigo do roubo de tokens OAuth2 Bearer
Um dos principais objetivos dos atacantes é capturar o OAuth2 Bearer, um token de autenticação usado por serviços do Google.
Esse token funciona como uma credencial temporária que mantém o usuário logado sem precisar inserir a senha repetidamente. O problema é que, se esse token for roubado, o invasor pode acessar a conta diretamente, sem precisar de senha ou autenticação em duas etapas.
Na prática, isso permite:
- Acesso completo ao Gmail
- Visualização de arquivos no Google Drive
- Uso de serviços conectados à conta
- Controle total da identidade digital da vítima
Esse tipo de ataque é silencioso e extremamente perigoso, pois contorna mecanismos tradicionais de segurança.
Sequestro de contas do Telegram Web
Além das contas do Google, os criminosos também estão mirando usuários do Telegram, especialmente aqueles que utilizam o Telegram Web.
A técnica utilizada envolve a manipulação do localStorage, um recurso do navegador onde ficam armazenadas informações de sessão.
As extensões maliciosas substituem a sessão legítima da vítima por uma sessão controlada pelo atacante a cada 15 segundos. Isso cria um ciclo contínuo de sequestro de sessão, permitindo que o invasor:
- Leia conversas privadas
- Envie mensagens como se fosse a vítima
- Intercepte códigos de autenticação
- Aplique golpes em contatos
Tudo isso acontece em segundo plano, sem sinais claros para o usuário.
Como identificar e remover extensões suspeitas
Diante desse cenário, é essencial revisar o navegador e remover qualquer ameaça potencial. Veja como se proteger:
1. Revise suas extensões instaladas
Digite na barra de endereço:
chrome://extensions/
Analise cuidadosamente todas as extensões. Se você não reconhece alguma, isso já é um alerta.
2. Observe permissões excessivas
Extensões maliciosas costumam pedir acesso amplo demais, como leitura de todos os sites visitados ou controle completo do navegador.
3. Remova imediatamente extensões suspeitas
Não hesite em excluir qualquer extensão desconhecida ou desnecessária.
4. Compare com listas de ameaças conhecidas
Pesquisadores frequentemente divulgam identificadores de extensões maliciosas. Verificar esses dados pode ajudar a encontrar ameaças ocultas.
5. Revogue sessões e acessos
Após remover extensões suspeitas:
- Saia da sua conta Google em todos os dispositivos
- Revise dispositivos conectados
- Ative ou reforce a verificação em duas etapas
6. Limpe os dados do navegador
Apague cookies, cache e sessões para evitar que acessos indevidos continuem ativos.
Conclusão e dicas de segurança digital
A descoberta dessa campanha mostra como ataques modernos estão evoluindo e explorando pontos de confiança dentro do próprio navegador. Extensões que parecem inofensivas podem se transformar em ferramentas de espionagem digital.
A melhor defesa continua sendo a prevenção. Instale apenas extensões realmente necessárias, verifique permissões com atenção e mantenha uma postura ativa em relação à sua segurança online.