Extensões maliciosas do Chrome

Extensões maliciosas do Chrome: Uma nova fronteira de ataques para roubo de contas e sessões

No ambiente digital atual, extensões de navegador são ferramentas populares que amplificam as funcionalidades dos navegadores, facilitando tarefas e melhorando a produtividade do usuário. Contudo, como mostrado em um recente relatório de pesquisadores em segurança da Socket Security, essa mesma conveniência pode ser explorada por agentes maliciosos para comprometer identidades, credenciais e sessões de usuários finais — especialmente em contextos corporativos e empresariais.

Pesquisadores identificaram cinco extensões maliciosas para o navegador Google Chrome que se apresentavam como ferramentas de produtividade para plataformas corporativas como Workday, NetSuite e SAP SuccessFactors, mas que, na prática, roubaram tokens de autenticação e facilitaram a tomada de controle de contas dos usuários.

Como as extensões maliciosas enganam os usuários

As extensões fraudulentas descobertas foram disponibilizadas em lojas de extensões e promovidas como utilitários que aumentariam a eficiência no acesso a sistemas de recursos humanos e planejamento empresarial, prometendo ganhar tempo no uso de múltiplas contas ou no acesso a ferramentas “premium”.

Esse tipo de isca é eficaz porque:

• Aparência profissional e descrição plausível — muitas extensões legítimas oferecem exatamente esse tipo de funcionalidade.

• Solicitação de permissões amplas, que podem parecer justificáveis para produtividade.

• Confiança nas plataformas oficiais, como a Chrome Web Store, que muitos usuários acreditam ser intrinsecamente segura.

As cinco extensões envolvidas nessa operação eram:

• DataByCloud Access

• Tool Access 11

• DataByCloud 1

• DataByCloud 2

• Software Access

Excepto Software Access, todas já foram removidas da Chrome Web Store, mas ainda podem circular em sites de terceiros.

Técnicas de ataque utilizadas

1. Exfiltração de cookies de sessão

Essas extensões interceptavam cookies de sessão — valores que mantêm a autenticação ativa dentro do navegador — e os enviavam para servidores controlados pelos criminosos a cada 60 segundos. Com esses tokens, o atacante pode assumir a sessão do usuário sem sequer precisar de sua senha.

2. Bloqueio de ações de segurança e remediação

Algumas extensões também manipulavam a estrutura da interface de páginas administrativas em plataformas corporativas. Elas apagavam o conteúdo de páginas de administração crítica (como mudanças de senha ou configurações de segurança), impedindo que as equipes de segurança respondessem ao incidente ou bloqueassem sessões comprometidas.

3. Injeção e sequestro de sessões

A variante mais sofisticada era capaz de injetar cookies roubados diretamente em um navegador sob controle do atacante, garantindo que o invasor tivesse acesso contínuo e pudesse navegar na conta como se fosse o usuário legítimo.

Essas táticas — combinadas com a ocultação do código malicioso sob uma interface aparentemente legítima — ilustram como ataques podem ser executados de forma furtiva, mesmo quando a vítima pensava estar instalando uma ferramenta útil.

Impacto para segurança corporativa

A exploração de extensões maliciosas representa um vetor de ataque que une engenharia social com exploração técnica:

• Roubo de credenciais e token de sessão pode levar a violação de contas empresariais críticas.

• Session hijacking (sequestro de sessão) permite acesso persistente sem triggers de alertas tradicionais.

• Bloqueio de remediação dificulta a resposta de equipes de segurança, deixando as organizações vulneráveis por períodos prolongados.

O risco é ainda mais grave em ambientes corporativos, onde uma única conta comprometida pode facilitar movimentações laterais em redes, acesso a dados sensíveis ou implantação de códigos maliciosos via engenharia de sessão.

Boas práticas para mitigação e defesa

Perante esse cenário, algumas medidas defensivas se destacam:

Verificação de extensões antes da instalação

Antes de instalar uma extensão, organizações e usuários devem:

• Checar a reputação do desenvolvedor;

• Ler avaliações e comentários detalhados;

• Analisar as permissões solicitadas com ceticismo.

Políticas de Whitelisting em ambientes corporativos

Administradores de TI podem implementar listas de extensões permitidas (whitelists) e bloquear outras pela política corporativa, reduzindo o risco de instalação de add-ons não autorizados.

Monitoramento contínuo de sessões e tokens

Ferramentas que detectam anomalias no uso de sessões e tokens podem identificar comportamentos suspeitos rapidamente e alertar as equipes de segurança.

Conclusão

A descoberta de cinco extensões maliciosas para o Google Chrome que se passam por ferramentas de produtividade para roubar contas corporativas representa um alerta sério para profissionais de segurança. Essas ameaças combinam roupagens legítimas com funcionalidades maliciosas profundas, como roubo de tokens de sessão, bloqueio de ações de segurança e sequestro de sessões, representando um risco significativo tanto para usuários individuais quanto para grandes organizações.

O caso demonstra que a segurança não pode ser tomada como garantida apenas porque a funcionalidade parece útil ou porque a extensão foi disponibilizada em uma loja oficial. Políticas de segurança robustas, monitoramento constante e conscientização dos usuários são pilares essenciais para reduzir a superfície de ataque e mitigar vetores explorados por agentes maliciosos.

Referências Bibliográficas

• “Cinco extensões maliciosas do Chrome se passam por extensões de produtividade para roubar contas” — CaveiraTech https://caveiratech.com/post/cinco-extensoes-maliciosas-do-chrome-se-passam-por-extensoes-de-produtividade-para-roubar-contas-9121261.

• “Five Malicious Chrome Extensions Impersonate Workday and NetSuite to Hijack Accounts” — The Hacker News  https://thehackernews.com/2026/01/five-malicious-chrome-extensions.html