Extensões AI do Chrome usadas para instalar malware

Extensões AI do Chrome são usadas para instalar malware furtivo e roubar informações

Uma campanha massiva identificada pela Malwarebytes revelou que ao menos 36 extensões do Google Chrome, voltadas a serviços de IA e VPN, foram comprometidas por cibercriminosos. Essas extensões passaram a entregar malware disfarçado de atualização legítima, desviando informações sensíveis dos usuários por meio de canais aparentemente seguros.

 

Como o ataque comprometeu extensões populares

As extensões afetadas incluíam nomes como “Bard AI Chat”, “ChatGPT App”, “ChatGPT Quick Access” e diversas VPNs, somando cerca de 2,6 milhões de usuários impactados. Os invasores obtiveram acesso às contas de desenvolvedores no Chrome Web Store — possivelmente por phishing — e lançaram versões com código malicioso diretame​_nte pelo canal oficial, mantendo aparência legítima até que fossem removidas.

 

Mecanismo de exfiltração de dados e persistência

O malware embutido nas extensões roubava credenciais, cookies de sessão e dados conectados a plataformas como Facebook Ads. As atualizações eram automáticas e passavam despercebidas, permitindo que os invasores acessassem contas sem intervenção do usuário. O código também podia redirecionar navegadores para sites falsos ou injetar comandos maliciosos durante a navegação.

 

Extensão maliciosa como vetor invisível de espionagem

Essas extensões operam como verdadeiros “agentes adormecidos”: inicialmente benéficas e aprovadas, mas depois modificadas para espionagem. A atualização automática permitia que atacantes infiltrassem código sem que usuários ou a análise de segurança percebessem. O controle completo do DOM do navegador tornou possível capturar cliques, senhas e fluxos de trabalho profissionais, especialmente em sessões corporativas.

 

Riscos estratégicos para empresas e usuários corporativos

Em ambientes empresariais, onde usuários utilizam extensões para produtividade, integração com ferramentas e chat com IA, esse tipo de ataque representa o risco de vazamento direto de segredos comerciais, credenciais de ERP ou tokens de plataformas de anúncios. Mesmo extensões marcadas como seguras ou “-featured” não garantem proteção; bastou o comprometimento da conta oficial para que se tornassem perigosas.

 

Medidas recomendadas para defesa contra extensões maliciosas

Empresas e usuários devem adotar medidas rigorosas de segurança:

  • Permitir apenas extensões aprovadas pela TI, empregando políticas de bloqueio via GPO ou gerenciamento centralizado de navegador.

  • Monitorar qualquer extensão com permissão para acessar cookies, tabs ou modificar o DOM.

  • Alertar equipes sobre extensões suspeitas e removê-las manualmente mesmo se já foram banidas da loja.

  • Incluir extensões em auditorias regulares de segurança e usar soluções de EDR/MTD que detectem comportamento malicioso de extensões.

  • Educar colaboradores para instalar apenas extensões de fontes confiáveis e revisar permissões solicitadas antes da instalação.

 

Conclusão

A campanha contra extensões AI no Chrome demonstrou que o vetor dos browsers continua sendo um dos mais exploráveis e perigosos, especialmente quando atacantes comprometem ferramentas aparentemente úteis. O ataque comprova que extensões legítimas podem se transformar em meios de exfiltração de alto impacto sem que o usuário perceba.

Para proteger a empresa, é essencial que políticas corporativas restrinjam extensões a um conjunto controlado, sistemas de segurança monitorem o comportamento do DOM e pastas do navegador, e que usuários sejam orientados sobre os riscos de permitir permissões amplas. A confiança nunca deve suplantar a vigilância ativa.

 

Referências Bibliográficas: