Extensões maliciosas do Chrome miram empresas, contas de e-mail e hábitos de navegação dos usuários
O que por muito tempo foi visto apenas como um “acessório” para aumentar a produtividade no navegador virou uma das portas de entrada mais exploradas por cibercriminosos. Extensões do Chrome, largamente usadas por profissionais de marketing, desenvolvedores, gestores de tráfego e equipes corporativas, vêm sendo abusadas para roubar dados sensíveis, capturar códigos de autenticação e monitorar toda a atividade online de suas vítimas – muitas vezes sem qualquer indício visível de comportamento suspeito.
Nos últimos meses, investigações de segurança revelaram uma série de campanhas maliciosas se aproveitando do ecossistema de extensões da Chrome Web Store. O cenário vai muito além de simples anúncios invasivos ou coleta genérica de cookies: incluem desde o roubo de dados de contas de anúncios e gerenciadores de negócios até o sequestro furtivo de contas em redes sociais e o monitoramento sistemático do histórico de navegação para fins comerciais.
A seguir, estão os principais casos identificados, o que exatamente essas extensões faziam e por que isso representa um risco direto para empresas e usuários finais.
Extensão voltada ao Meta Business roubava dados e códigos 2FA
Uma das investigações mais preocupantes revelou o funcionamento da extensão “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), publicada na Chrome Web Store em março de 2025. À primeira vista, a ferramenta parecia voltada a usuários avançados do ecossistema Meta, em especial quem usa o Meta Business Suite e o Facebook Business Manager para gerenciar campanhas, páginas e ativos de mídia paga.
No material de divulgação, a extensão prometia automatizar tarefas, extrair relatórios, remover pop-ups irritantes de verificação e até facilitar o gerenciamento de códigos de autenticação de dois fatores (2FA). Para muitos gestores de tráfego e agências, isso soava como uma solução prática para o dia a dia.
Na prática, porém, análises técnicas mostraram que o código da extensão fazia algo muito mais grave. Entre os dados capturados e enviados para infraestrutura controlada pelo criminoso estavam:
– Seeds de TOTP, ou seja, os segredos usados para gerar códigos temporários de autenticação;
– Códigos 2FA em uso, permitindo o acesso imediato às contas;
– Listas completas de contatos e perfis do Business Manager, incluindo nomes, e-mails e níveis de permissão;
– Informações analíticas e dados de contas vinculadas, úteis para mapear ativos comerciais valiosos.
Essas informações eram transmitidas para o domínio getauth[.]pro, que funcionava como ponto central de exfiltração. Em alguns cenários, os dados ainda eram redirecionados para canais privados em aplicativos de mensagens, facilitando o consumo em tempo real pelo operador da campanha.
Apesar de a extensão contabilizar “apenas” 33 usuários no momento em que foi descoberta, o tipo de acesso concedido era extremamente sensível. Em ambiente corporativo, muitas vezes um único perfil possui permissão sobre dezenas de contas de anúncios, páginas de empresas e ativos críticos. Isso significa que, com poucos alvos bem escolhidos, os criminosos podem comprometer estruturas inteiras de marketing digital, campanhas com orçamentos elevados e até dados de clientes.
Campanha VK Styles sequestra contas no VKontakte
Outro caso de destaque ocorreu na rede social russa VKontakte (VK). Uma campanha conhecida como “VK Styles” enganou cerca de 500 mil usuários com extensões que se apresentavam como ferramentas de personalização visual da plataforma – algo semelhante a temas, skins ou ajustes estéticos do feed.
Debaixo dessa fachada inofensiva, o conjunto de extensões executava uma série de ações automatizadas diretamente nas contas das vítimas, incluindo:
– Inscrição automática em grupos controlados pelos operadores da campanha, inflando artificialmente audiências;
– Restauração periódica de configurações da conta a cada 30 dias, para manter o controle e neutralizar tentativas de recuperação por parte do usuário;
– Manipulação de tokens CSRF, mecanismo de segurança usado para prevenir alterações não autorizadas, permitindo burlar proteções internas da plataforma;
– Estabelecimento de controle persistente, garantindo que, mesmo após mudanças de senha, os invasores continuassem com acesso privilegiado.
A operação foi vinculada a um perfil de desenvolvedor identificado como “2vk”, que utilizava técnicas avançadas de ocultação. Os links utilizados para carregar o código malicioso eram escondidos em metadados HTML de perfis no próprio VK, dificultando a detecção automática e dando ao invasor flexibilidade para trocar o payload sem necessidade de atualizar a extensão.
Outro ponto alarmante foi a constatação de que o código malicioso recebia atualizações frequentes, evidenciando que não se tratava de uma ação pontual, mas de uma campanha mantida de forma ativa, com aprimoramentos constantes para escapar de mecanismos de segurança e aumentar o nível de controle sobre as contas comprometidas.
Extensões falsas de IA roubam e-mails e credenciais
Surfando na onda da popularização da inteligência artificial, outra campanha de larga escala ganhou o nome de “AiFrame”. Nesse caso, foram identificadas 32 extensões que se apresentavam como assistentes de IA, oferecendo funcionalidades como:
– Resumo de textos em tempo real;
– Geração de respostas e e-mails;
– Tradução de conteúdos;
– Suporte direto integrado ao Gmail – algo altamente atraente para quem lida diariamente com grande volume de mensagens.
Entre as extensões detectadas estavam clones ou variações com nomes como:
– AI Assistant
– Llama
– Gemini AI Sidebar
– ChatGPT Sidebar
– Grok
– Google Gemini
No total, essas extensões somavam mais de 260 mil instalações, o que amplia significativamente o potencial de dano em escala global.
A infraestrutura maliciosa adotava uma arquitetura baseada em um iframe de tela cheia apontando para um domínio remoto (claude.tapnetic[.]pro). Esse artifício permitia que os cibercriminosos alterassem as funcionalidades do “assistente” a qualquer momento, sem depender de novas versões aprovadas na Chrome Web Store. Em outras palavras, a extensão funcionava como uma casca vazia que carregava, sob demanda, qualquer código desejado pelo operador.
Entre as capacidades observadas pelos analistas estavam:
– Extração de texto e conteúdo de qualquer página aberta no navegador;
– Leitura direta de e-mails a partir do DOM do Gmail, como se o próprio usuário estivesse visualizando as mensagens;
– Uso de reconhecimento de fala para transcrever áudios e comandos de voz, ampliando a quantidade de dados sensíveis capturados;
– Envio de todo esse material para servidores externos, onde podia ser armazenado, correlacionado e explorado em fraudes posteriores.
Na prática, isso significava que o conteúdo de trocas de e-mail, informações sobre clientes, negociações comerciais e dados internos passavam a sair do ambiente supostamente protegido do provedor de e-mail e eram transportados silenciosamente para a infraestrutura do atacante.
Extensões espiãs: 287 plugins coletavam histórico de navegação
Para além das campanhas focadas em roubo direto de credenciais ou sequestro de contas, pesquisadores também identificaram um ecossistema silencioso, mas massivo, de extensões com um objetivo bem definido: transformar o histórico de navegação dos usuários em mercadoria.
Um relatório recente mapeou 287 extensões do Chrome envolvidas na coleta e exfiltração de histórico de navegação para empresas especializadas em comércio de dados. Somadas, essas extensões acumulavam impressionantes 37,4 milhões de instalações — o equivalente a cerca de 1% de toda a base de usuários do navegador no mundo.
O modelo de negócio é relativamente simples: monitorar quais sites são acessados, com que frequência, em quais horários e por quanto tempo, criando um retrato detalhado do comportamento digital. Esses dados são enviados a empresas que atuam como intermediárias, revendendo as informações para plataformas de inteligência de mercado, publicidade comportamental e análise de tendências.
Embora muitas dessas extensões se apresentem como “ferramentas de produtividade”, “otimizadores de navegação” ou “assistentes de cupons e descontos”, a contrapartida é a construção de um dossiê comportamental extremamente detalhado do usuário – algo que pode ir além do marketing, sendo útil também para engenharia social e ataques direcionados.
—
Por que isso é especialmente perigoso para empresas?
Em ambientes corporativos, o navegador é mais do que um simples meio de acessar redes sociais ou serviços de entretenimento. Ele é a porta de entrada para sistemas internos, ERPs na nuvem, plataformas de anúncios, CRMs, ferramentas de suporte, repositórios de código e uma infinidade de aplicações críticas do negócio.
Quando um colaborador instala uma extensão maliciosa:
– Dados de login a sistemas internos podem ser interceptados;
– E-mails corporativos, anexos e conversas sensíveis podem ser copiados em massa;
– Informações sobre clientes, leads, contratos e propostas podem ser espionadas;
– Processos internos, rotinas e fluxos de aprovação ficam expostos ao atacante.
Mesmo que apenas um membro da equipe seja comprometido, sobretudo alguém com privilégios elevados, o impacto pode se estender a toda a organização. No contexto de marketing digital, por exemplo, o controle de contas de anúncios e gerenciadores de negócios significa acesso a cartões de crédito corporativos, campanhas de alto orçamento e grandes audiências, abrindo espaço para fraudes financeiras e disseminação de golpes em escala.
Como extensões maliciosas conseguem aprovação e se espalham?
Muitos usuários acreditam que o simples fato de uma extensão estar disponível na Chrome Web Store é sinônimo de segurança. Na prática, o processo de revisão é em grande parte automatizado, e desenvolvedores mal-intencionados exploram isso por meio de diversas estratégias:
– Publicam uma versão inicialmente “limpa”, sem código malicioso, para ganhar confiança e avaliações positivas;
– Após conquistar base mínima de usuários, atualizam a extensão com funções maliciosas inseridas de forma ofuscada;
– Utilizam descrições, ícones e nomes semelhantes a ferramentas legítimas e populares, confundindo usuários menos atentos;
– Exploram permissões amplas, como acesso a todos os sites visitados, leitura e alteração de dados em páginas ou acesso a abas e histórico, sob o pretexto de oferecer recursos avançados.
Além disso, o uso de domínios remotos, iframes e carregamento dinâmico de scripts permite que o comportamento efetivo da extensão seja alterado a qualquer momento, mesmo depois de aprovada e instalada, o que dificulta a detecção por mecanismos tradicionais de filtro.
Sinais de alerta ao instalar extensões
Embora nem todo usuário tenha conhecimento técnico para analisar código-fonte, alguns cuidados práticos ajudam a reduzir o risco:
– Verificar se o desenvolvedor é conhecido, tem outros produtos reconhecidos ou presença consolidada;
– Desconfiar de extensões que pedem permissões exageradas para a funcionalidade proposta;
– Ler as avaliações com atenção, especialmente comentários recentes citando comportamento estranho ou mudanças súbitas;
– Evitar instalar plugins recém-lançados com poucos usuários e pouca transparência sobre quem está por trás do projeto;
– Conferir periodicamente a lista de extensões instaladas e remover aquelas que não são mais utilizadas.
Para empresas, é recomendável ir além: criar políticas formais sobre quais tipos de extensões podem ser usadas, manter listas de bloqueio e de aprovação prévia e, quando possível, centralizar a gestão por meio de administração corporativa do navegador.
Boas práticas para equipes de TI e segurança
Times de TI e segurança da informação podem mitigar significativamente esse tipo de risco com algumas medidas estruturais:
– Utilizar versões corporativas do navegador com políticas de grupo que limitem a instalação livre de extensões;
– Monitorar regularmente o inventário de plugins instalados em máquinas corporativas;
– Educar funcionários sobre os riscos de extensões supostamente “milagrosas” e de origem desconhecida;
– Priorizar soluções internas ou de fornecedores já auditados quando houver necessidade de funcionalidades adicionais;
– Revisar logs de acesso a sistemas críticos em busca de padrões suspeitos, como logins em horários atípicos ou de regiões não usuais.
Em setores regulados ou que lidam com dados sensíveis – como financeiro, saúde, jurídico e tecnologia – o controle de extensões deve fazer parte explícita da política de segurança, no mesmo nível de rigor aplicado a antivírus, VPNs e controle de acesso.
O papel da conscientização do usuário
Apesar de todas as camadas de defesa técnica, o usuário final continua sendo um elo decisivo. Muitas dessas extensões apenas se instalam porque alguém, em algum momento, clicou em “Adicionar ao Chrome” sem avaliar com cuidado.
Manter uma postura de desconfiança saudável é fundamental:
– Se uma ferramenta promete acesso fácil a funcionalidades “secretas” de plataformas como Meta, Gmail ou grandes serviços de IA, é preciso questionar;
– Se a proposta é automatizar processos sensíveis, como autenticação, geração de códigos 2FA ou manipulação de contas, o risco de abuso é elevado;
– Ofertas “gratuitas” com benefícios muito acima da média quase sempre escondem a captura agressiva de dados como forma de monetização.
A combinação de políticas corporativas bem definidas, ferramentas de monitoramento e usuários conscientes reduz drasticamente a superfície de ataque disponível para campanhas como CL Suite, VK Styles, AiFrame e o universo de extensões voltadas à venda de histórico de navegação.
Extensões continuarão sendo alvo
Extensões de navegador não vão desaparecer – ao contrário, tendem a se tornar ainda mais integradas à rotina das pessoas e das empresas, especialmente com a expansão de funcionalidades de IA diretamente no browser. Esse movimento também significa que cibercriminosos continuarão vendo esse ecossistema como um canal atraente para espionagem, fraude e coleta de dados em massa.
O desafio, portanto, não é abandonar as extensões, mas amadurecer a forma como elas são avaliadas, aprovadas e monitoradas. Navegadores, provedores de lojas de extensões, empresas e usuários finais precisam enxergá-las como softwares com pleno potencial de risco – e tratá-las com o mesmo nível de cuidado dedicado a qualquer aplicação instalada em um ambiente corporativo.
Enquanto isso não acontecer de forma ampla, casos de roubo de dados corporativos, captura de e-mails e monitoramento indevido de histórico de navegação tendem a se repetir e a se sofisticar, explorando exatamente o ponto em que produtividade e conveniência se encontram com a falta de vigilância.