{"id":22875,"date":"2025-08-11T08:00:00","date_gmt":"2025-08-11T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22875"},"modified":"2025-08-02T21:27:18","modified_gmt":"2025-08-03T00:27:18","slug":"extensoes-ai-do-chrome-usadas-para-instalar-malware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/08\/exploits\/extensoes-ai-do-chrome-usadas-para-instalar-malware\/","title":{"rendered":"Extens\u00f5es AI do Chrome usadas para instalar malware"},"content":{"rendered":"\n
\n
\n
\n
\n
\n
\n
\n

Extens\u00f5es AI do Chrome s\u00e3o usadas para instalar malware furtivo e roubar informa\u00e7\u00f5es<\/strong><\/p>\n

Uma campanha massiva identificada pela Malwarebytes revelou que ao menos 36 extens\u00f5es do Google Chrome<\/strong>, voltadas a servi\u00e7os de IA e VPN, foram comprometidas por cibercriminosos. Essas extens\u00f5es passaram a entregar malware disfar\u00e7ado de atualiza\u00e7\u00e3o leg\u00edtima<\/strong>, desviando informa\u00e7\u00f5es sens\u00edveis dos usu\u00e1rios por meio de canais aparentemente seguros.<\/p>\n

\u00a0<\/p>\n

Como o ataque comprometeu extens\u00f5es populares<\/strong><\/p>\n

As extens\u00f5es afetadas inclu\u00edam nomes como “Bard AI Chat”, “ChatGPT App”, “ChatGPT Quick Access” e diversas VPNs, somando cerca de 2,6 milh\u00f5es de usu\u00e1rios<\/strong> impactados. Os invasores obtiveram acesso \u00e0s contas de desenvolvedores no Chrome Web Store \u2014 possivelmente por phishing \u2014 e lan\u00e7aram vers\u00f5es com c\u00f3digo malicioso diretame\u200b_nte pelo canal oficial, mantendo apar\u00eancia leg\u00edtima at\u00e9 que fossem removidas.<\/p>\n

\u00a0<\/p>\n

Mecanismo de exfiltra\u00e7\u00e3o de dados e persist\u00eancia<\/strong><\/p>\n

O malware embutido nas extens\u00f5es roubava credenciais, cookies de sess\u00e3o e dados conectados a plataformas como Facebook Ads. As atualiza\u00e7\u00f5es eram autom\u00e1ticas e passavam despercebidas, permitindo que os invasores acessassem contas sem interven\u00e7\u00e3o do usu\u00e1rio. O c\u00f3digo tamb\u00e9m podia redirecionar navegadores para sites falsos ou injetar comandos maliciosos durante a navega\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Extens\u00e3o maliciosa como vetor invis\u00edvel de espionagem<\/strong><\/p>\n

Essas extens\u00f5es operam como verdadeiros “agentes adormecidos”: inicialmente ben\u00e9ficas e aprovadas, mas depois modificadas para espionagem. A atualiza\u00e7\u00e3o autom\u00e1tica permitia que atacantes infiltrassem c\u00f3digo sem que usu\u00e1rios ou a an\u00e1lise de seguran\u00e7a percebessem. O controle completo do DOM do navegador tornou poss\u00edvel capturar cliques, senhas e fluxos de trabalho profissionais, especialmente em sess\u00f5es corporativas.<\/p>\n

\u00a0<\/p>\n

Riscos estrat\u00e9gicos para empresas e usu\u00e1rios corporativos<\/strong><\/p>\n

Em ambientes empresariais, onde usu\u00e1rios utilizam extens\u00f5es para produtividade, integra\u00e7\u00e3o com ferramentas e chat com IA, esse tipo de ataque representa o risco de vazamento direto de segredos comerciais, credenciais de ERP ou tokens de plataformas de an\u00fancios. Mesmo extens\u00f5es marcadas como seguras ou \u201c-featured\u201d n\u00e3o garantem prote\u00e7\u00e3o; bastou o comprometimento da conta oficial para que se tornassem perigosas.<\/p>\n

\u00a0<\/p>\n

Medidas recomendadas para defesa contra extens\u00f5es maliciosas<\/strong><\/p>\n

Empresas e usu\u00e1rios devem adotar medidas rigorosas de seguran\u00e7a:<\/p>\n