Principais destaques
- Mais de 300 extensões do Chrome foram identificadas como maliciosas e somam 37 milhões de downloads
- Parte delas se passava por ferramentas de inteligência artificial e acessava dados sensíveis, incluindo Gmail
- Especialistas apontam crescimento de ataques que usam a própria Chrome Web Store como porta de entrada
Uma nova investigação de segurança revelou um cenário preocupante para quem utiliza o navegador Google Chrome.
Mais de 300 extensões consideradas maliciosas foram encontradas na loja oficial, expondo cerca de 37 milhões de usuários a riscos como rastreamento indevido, roubo de credenciais e coleta silenciosa de dados pessoais.
O relatório, divulgado pelo portal SecurityWeek, aponta que as extensões faziam parte de campanhas coordenadas. A descoberta ocorre em meio a um aumento significativo de ataques que exploram o próprio navegador como vetor principal.
Ferramentas de IA falsas enganaram milhares de usuários
Uma das campanhas mais sofisticadas foi detalhada pela empresa LayerX. Batizada de AiFrame, a operação envolvia 32 extensões que se apresentavam como assistentes de inteligência artificial. Elas prometiam integração com serviços populares como ChatGPT, Claude, Gemini e Grok.
Na aparência, ofereciam recursos como resumo automático de textos, ajuda na escrita e integração com o Gmail. Na prática, funcionavam de forma bem diferente.
Em vez de processar as informações localmente, as extensões carregavam conteúdos remotos controlados por servidores externos. Isso permitia que operadores alterassem o comportamento da ferramenta sem necessidade de atualizar o aplicativo na loja oficial.
Segundo a pesquisadora Natalie Zargarov, da LayerX, essas extensões atuavam como intermediárias privilegiadas dentro do navegador, concedendo acesso a dados sensíveis.
Algumas delas capturavam títulos de páginas, textos completos e metadados. Um grupo específico de 15 extensões era direcionado ao Gmail, lendo o conteúdo de e-mails diretamente da interface do usuário.
Usuários do VKontakte também foram alvo
Outra campanha identificada foi a chamada VK Styles, analisada pela empresa Koi Security. Nesse caso, o alvo era a rede social russa VKontakte.
As extensões se apresentavam como ferramentas de personalização visual da plataforma. Após instaladas, passavam a inscrever automaticamente os usuários em grupos controlados pelos invasores, redefiniam configurações de conta periodicamente e manipulavam tokens de segurança para manter o acesso ativo.
Os pesquisadores afirmam que a operação pode ter sido conduzida por um único agente malicioso, que utilizava um perfil dentro da própria rede social como parte da infraestrutura de comando e controle.
Um problema maior dentro da Chrome Web Store
Os casos fazem parte de um contexto mais amplo. O site About Chromebooks relatou que o Google removeu ou desativou extensões que impactaram mais de 8,8 milhões de usuários entre o fim de 2024 e o início de 2026.
Uma das técnicas usadas pelos criminosos é chamada de extension spraying. Nela, o mesmo código malicioso é publicado repetidamente com nomes diferentes para dificultar a remoção completa.
Em alguns casos, extensões envolvidas na campanha AiFrame chegaram a receber destaque na própria loja oficial, o que aumentou a confiança do público e impulsionou downloads.
O episódio acende um alerta importante para usuários do Chrome. Mesmo ferramentas disponíveis na loja oficial podem representar riscos.
Especialistas recomendam revisar permissões concedidas às extensões, remover aquelas que não são essenciais e manter atenção redobrada a aplicativos que prometem recursos avançados demais para serem verdade.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
