Dezenas de extensões do Chrome hackeadas, mais de 2,6 milhões de usuários expostos a roubo de dados

Em uma grande violação de segurança cibernética, pelo menos 35 extensões populares do navegador Chrome foram comprometidas, expondo mais de 2,6 milhões de usuários a possíveis roubos de dados e coleta de credenciais. O ataque teve como alvo desenvolvedores de extensões com uma campanha de phishing, permitindo que hackers injetassem código malicioso em extensões legítimas, transformando ferramentas confiáveis em ameaças de roubo de dados.

Como o ataque aconteceu

A violação começou com um e-mail de phishing se passando pelo Suporte ao Desenvolvedor da Google Chrome Web Store. O e-mail falsamente alegou que as extensões visadas estavam em risco de remoção por violar políticas e pediu aos desenvolvedores que seguissem um link para "resolver o problema". Esse link concedeu permissões para um aplicativo OAuth malicioso chamado "Privacy Policy Extension", dando aos invasores acesso às contas dos desenvolvedores.

Uma vez obtido o acesso, um código malicioso foi carregado nas extensões afetadas. Este código:

• Roubou cookies e tokens de acesso do usuário .
• Comunicou-se com servidores de comando e controle (C&C) para baixar instruções adicionais.
• Dados de usuários exfiltrados para exploração posterior.

O ataque veio à tona quando a empresa de segurança cibernética Cyberhaven divulgou que um de seus funcionários foi alvo em 24 de dezembro. A extensão do navegador da empresa foi rapidamente explorada, mas esse incidente foi apenas a ponta do iceberg.

Lista completa de extensões comprometidas

À medida que os investigadores se aprofundavam, eles identificaram as seguintes extensões comprometidas do Chrome:

1. Assistente de IA - ChatGPT e Gemini para Chrome
2. Extensão de bate-papo Bard AI
3. Resumo do GPT 4 com OpenAI
4. Pesquisar Copilot AI Assistant para Chrome
5. Assistente de IA TinaMind
6. IA Wayin
7. Cidade VPN
8. Internet VPN
9. Gravador de vídeo Vidnoz Flex
10. Baixador de Vídeo VidHelper
11. Marcador Favicon Changer
12. Castorus
13. Uvoz
14. Modo leitor
15. Conversas de Papagaio
16. Primeiro
17. Tackker - ferramenta de keylogger on-line
18. Amigo da loja de IA
19. Classificar por Mais antigo
20. Automatizador de busca de recompensas
21. Assistente ChatGPT - Pesquisa inteligente
22. Gravador de histórico de teclado
23. Caçador de e-mail
24. Efeitos visuais para o Google Meet
25. Earny - Até 20% de dinheiro de volta
26. Onde está o Cookie?
27. Espelho da Web
28. Aplicativo ChatGPT
29. Olá AI
30. Gerenciador de senhas Web3
31. Assistente YesCaptcha
32. SwitchyOmega (V3) de proxy
33. Inspetor de rede GraphQL
34. ChatGPT para Google Meet
35. Resumo do GPT 4 com OpenAI

Esta lista abrangente destaca a extensão da violação, afetando extensões usadas para assistência de IA, serviços de VPN, produtividade e muito mais.

Atividades maliciosas descobertas

Os atacantes fizeram mais do que apenas roubar dados. A análise das extensões comprometidas revelou:

• Segmentação de identidade e credenciais : código malicioso buscava tokens de acesso e informações de identidade, principalmente contas de anúncios do Facebook.
• Monitoramento de cliques do mouse : o código registra os cliques do usuário nas páginas do Facebook para capturar códigos QR, potencialmente ignorando a autenticação de dois fatores (2FA) .
• Esquemas de monetização : em alguns casos, os desenvolvedores já haviam incluído SDKs de coleta de dados para monetização antes da violação.

Extensões como o Visual Effects for Google Meet usavam uma biblioteca de bloqueio de anúncios vinculada ao Urban VPN que coletava furtivamente dados do usuário.

Há quanto tempo isso vem acontecendo?

As evidências sugerem que essa campanha pode ter estado ativa desde 2022 ou antes. Os investigadores rastrearam registros de domínio vinculados à atividade maliciosa já em 2021. Por exemplo:

• O domínio nagofsg[.]com foi registrado em agosto de 2022.
• O domínio sclpfybn[.]com foi registrado em julho de 2021.

Riscos Contínuos

Embora muitas extensões comprometidas tenham sido removidas ou atualizadas na Chrome Web Store, o risco não é totalmente mitigado. Se a versão maliciosa de uma extensão ainda estiver ativa no dispositivo de um usuário, ela pode continuar roubando dados.

"Remover uma extensão da Chrome Web Store não a remove automaticamente dos endpoints do usuário", alerta Or Eshed, CEO da LayerX Security.

O que você pode fazer

Aqui estão algumas etapas que você pode seguir para proteger seus dados:

1. Desinstalar extensões afetadas : revise a lista de extensões comprometidas e remova as que você instalou.
2. Revogar permissões : se você concedeu alguma permissão a extensões ou aplicativos suspeitos, revogue-as imediatamente nas configurações da sua conta do Google.
3. Habilite a autenticação de dois fatores : fortaleça suas contas com autenticação de dois fatores sempre que possível.
4. Atualizar senhas : altere senhas de contas que podem ter sido expostas.
5. Monitore atividades incomuns : fique atento a acessos ou atividades não autorizadas em suas contas.

Considerações finais

Este incidente ressalta a necessidade crítica de vigilância ao usar extensões de navegador. Embora as extensões sejam ferramentas poderosas, elas também representam riscos de segurança significativos se comprometidas. Desenvolvedores e usuários devem permanecer alertas para campanhas de phishing e examinar permissões e atualizações.

O processo de revisão da Chrome Web Store do Google também precisará se adaptar para detectar melhor atividades maliciosas e proteger os usuários de ameaças semelhantes no futuro.

Ao se manterem informados e proativos, os usuários podem ajudar a minimizar os riscos apresentados por este e futuros ataques. Não deixe que ferramentas confiáveis se tornem uma porta de entrada para criminosos cibernéticos — tome medidas para proteger seus dados hoje mesmo.