Google remove extensões maliciosas do Chrome envolvidas em roubo de cookies e sequestro de sessões
O Google retirou da Chrome Web Store um conjunto de extensões que, à primeira vista, pareciam utilitários legítimos, mas que na prática estavam envolvidas em roubo de cookies, sequestro de sessões de usuário e execução de código oculto diretamente nos navegadores das vítimas. Antes de serem derrubadas, essas extensões haviam alcançado milhares de downloads, o que amplia significativamente o potencial de impacto do ataque.
Esses complementos eram anunciados como ferramentas de produtividade, opções de personalização do navegador e até auxiliares para pesquisas online. A descrição, os ícones e as avaliações iniciais davam a impressão de que se tratava de software confiável, o que levava muitos usuários a instalá-las sem grandes questionamentos. No entanto, após a instalação, as extensões passavam a estabelecer comunicação com servidores remotos, de onde recebiam comandos adicionais para ativar rotinas maliciosas que não estavam aparentes na versão originalmente enviada para a loja.
Entre os comportamentos identificados pelos pesquisadores de segurança estava a captura de cookies de autenticação e tokens de sessão armazenados no navegador. Esses dados são extremamente sensíveis, pois permitem que um invasor assuma a sessão de um usuário logado em serviços como e-mail, redes sociais, plataformas corporativas ou bancárias, sem que seja necessário digitar a senha novamente. Quando o token de sessão ainda está válido, essa técnica pode inclusive contornar mecanismos de autenticação multifator, já que o processo de login em si é “pulado”.
Além do roubo de cookies, as extensões analisadas lançavam mão de injeção de scripts nas páginas acessadas pelas vítimas. Com isso, conseguiam monitorar a navegação, acompanhar cliques, registrar dados inseridos em formulários e até alterar partes do conteúdo exibido no navegador. Em alguns cenários, essa manipulação poderia ser usada para exibir campos falsos de login, redirecionar o usuário a páginas fraudulentas ou inserir anúncios indesejados sem o conhecimento do internauta.
Um aspecto que chamou a atenção dos especialistas foi o caráter camuflado da campanha. Em muitos casos, o comportamento malicioso não estava presente na primeira versão enviada para aprovação do Google. A extensão passava por todo o processo de revisão, aparentando ser inofensiva, e só depois de acumular uma base relevante de usuários recebia uma atualização silenciosa, na qual o código malicioso era introduzido. Esse modelo de ataque dificulta a detecção precoce, já que a análise inicial não encontra nada de suspeito.
Para aumentar ainda mais a complexidade da investigação, os criminosos aplicaram técnicas avançadas de ofuscação de código. Trechos importantes da lógica maliciosa eram embaralhados ou divididos em partes, dificultando a leitura por analistas e retardando a identificação por ferramentas automatizadas de segurança. Ao tornar o código mais difícil de interpretar, os desenvolvedores mal-intencionados ganharam tempo para explorar o maior número possível de vítimas antes que as extensões fossem definitivamente removidas.
Depois que o comportamento suspeito foi confirmado, o Google desativou as extensões envolvidas e anunciou o reforço de seus mecanismos internos de monitoramento e revisão. A empresa afirma que está aprimorando tanto os processos automáticos quanto as análises manuais, justamente para identificar padrões de comportamento pós-instalação, atualizações suspeitas e solicitações de permissões exageradas em relação à função anunciada pela extensão.
O caso reacende o alerta sobre a falsa sensação de segurança que muitos usuários têm ao instalar qualquer aplicativo ou complemento disponível em lojas oficiais. Embora as plataformas façam uma triagem inicial, nenhum ecossistema é 100% imune a abusos. Extensões com milhões de usuários já foram usadas no passado para espionagem, mineração de criptomoedas e outros tipos de fraude, o que mostra que o risco não está restrito a pequenos projetos pouco conhecidos.
Especialistas em segurança digital recomendam que os usuários revisem com frequência as extensões instaladas no navegador e excluam aquelas que não são mais utilizadas ou que parecem suspeitas. Também é essencial verificar quais permissões cada extensão exige. Acesso irrestrito a todos os sites visitados, leitura de dados em páginas seguras (HTTPS) ou controle total das abas do navegador devem ser vistos com cautela, especialmente quando se trata de ferramentas simples, que teoricamente não precisariam de tantos privilégios.
Outra boa prática é evitar instalar extensões apenas porque estão em destaque ou têm muitos downloads. É importante observar comentários recentes de usuários, mudanças bruscas na avaliação da extensão e eventuais reclamações sobre comportamentos estranhos, como redirecionamentos inesperados, anúncios invasivos ou aumento repentino no consumo de recursos do computador. Mudanças frequentes de desenvolvedor ou de nome do complemento também podem ser sinal de alerta.
Para empresas, o risco é ainda maior. Extensões maliciosas instaladas em navegadores corporativos podem abrir portas para a invasão de sistemas internos, vazamento de dados confidenciais e comprometimento de credenciais de funcionários com acesso privilegiado. Por isso, é recomendável adotar políticas claras de uso de extensões, limitando a instalação apenas a complementos aprovados previamente pela equipe de TI ou de segurança da informação.
A realização de testes de segurança, como pentests, antes da adoção de novos softwares ou integrações também é uma medida fundamental. Muitas organizações subestimam o impacto que uma simples extensão de navegador pode ter em sua superfície de ataque, concentrando os esforços apenas em servidores e aplicações principais. No entanto, o navegador é hoje uma das principais portas de entrada para ataques direcionados, justamente por estar no centro da interação diária entre usuários e sistemas críticos.
O aumento do uso de inteligência artificial no desenvolvimento de software também traz novos desafios. Ferramentas de IA podem acelerar a criação de código, mas, se não forem usadas com critérios de segurança, podem gerar trechos vulneráveis ou até incorporar, sem perceber, componentes maliciosos provenientes de exemplos inseguros. Ao mesmo tempo, criminosos podem utilizar IA para automatizar a criação de extensões maliciosas cada vez mais sofisticadas, com melhor engenharia social e técnicas de ofuscação mais avançadas.
Nesse contexto, o Brasil ainda carece de um marco robusto de responsabilização específico para incidentes cibernéticos que afetem infraestruturas críticas. Embora existam leis gerais sobre proteção de dados e crimes informáticos, a definição clara de deveres, responsabilidades e punições em casos de falhas envolvendo cadeias de software – como o uso de extensões maliciosas em ambientes sensíveis – permanece insuficiente. Isso gera incertezas jurídicas e pode retardar investimentos em segurança mais estruturada.
Para o usuário comum, algumas medidas simples ajudam a reduzir a exposição a esse tipo de ameaça: manter o navegador sempre atualizado, ativar autenticação multifator em serviços importantes, evitar reutilizar senhas em diferentes sites e desconfiar de qualquer ferramenta que prometa funcionalidades “milagrosas” em troca de permissões amplas demais. Em caso de suspeita, é recomendável sair de todas as sessões ativas nas contas mais sensíveis, alterar senhas e remover imediatamente extensões que não sejam estritamente necessárias.
A remoção dessas extensões pelo Google é um passo importante, mas não resolve, por si só, o problema estrutural. Novas campanhas semelhantes provavelmente surgirão, explorando brechas no processo de revisão e a falta de atenção dos usuários. A combinação de melhorias técnicas por parte das grandes empresas de tecnologia, políticas públicas mais claras e educação contínua em segurança digital é essencial para reduzir a eficácia desse tipo de ataque.
No fim, o episódio reforça uma lição central da segurança da informação: confiança não deve ser concedida automaticamente apenas porque algo está disponível em uma loja oficial ou carrega o selo de uma grande plataforma. Cada instalação precisa ser vista como uma decisão de risco. Cabe ao usuário, às empresas e aos desenvolvedores adotarem uma postura mais crítica e preventiva, tratando o navegador não como um simples programa de acesso à internet, mas como um ambiente sensível que pode ser explorado para comprometer toda a vida digital de uma pessoa ou de uma organização.