O uso de extensões no navegador se consolidou como ferramenta essencial para profissionais de marketing, desenvolvedores e equipes corporativas. Porém, novas análises de segurança indicam que esse recurso também tem sido explorado por cibercriminosos para capturar informações sensíveis, incluindo códigos de autenticação em dois fatores (2FA), credenciais e até o histórico completo de navegação dos usuários.
Extensão ligada ao Meta Business exfiltrava dados estratégicos
Um dos casos identificados envolve a extensão “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), publicada na Chrome Web Store em março de 2025. A ferramenta era direcionada a usuários do Meta, especialmente aqueles que utilizam o Meta Business Suite e o Facebook Business Manager.
Prometendo recursos como extração de dados da plataforma, remoção de verificações e geração de códigos 2FA, a extensão, na prática, enviava informações sensíveis para servidores controlados por hackers. Entre os dados identificados estavam:
-
Seeds de TOTP (base para geração de códigos temporários de autenticação);
-
Códigos 2FA ativos;
-
Listas de contatos do Business Manager (nomes, e-mails e permissões);
-
Dados analíticos e informações de contas vinculadas.
As informações eram transmitidas por meio do domínio getauth[.]pro e, em alguns casos, redirecionadas para canais privados no Telegram. Apesar de contar com apenas 33 usuários no momento da descoberta, o acesso obtido permitia identificar contas de alto valor e estruturar ataques direcionados.
Campanha VK Styles compromete 500 mil contas
Outro episódio envolveu a rede social russa VKontakte. A campanha, apelidada de VK Styles, atingiu aproximadamente 500 mil usuários por meio de extensões disfarçadas de ferramentas de personalização.
Essas extensões executavam ações como:
-
Inscrição automática em grupos administrados pelos invasores;
-
Redefinição periódica das configurações da conta;
-
Manipulação de tokens CSRF para contornar proteções internas;
-
Manutenção de acesso persistente ao perfil.
A operação foi vinculada a um perfil no GitHub identificado como 2vk, que utilizava técnicas sofisticadas para esconder links maliciosos dentro de metadados HTML de perfis da própria plataforma. O código era atualizado com frequência, indicando manutenção ativa da campanha.
Extensões falsas de IA capturavam e-mails e credenciais
Uma terceira ofensiva, chamada AiFrame, envolveu 32 extensões que se apresentavam como assistentes baseados em inteligência artificial. Elas prometiam funcionalidades como resumo de textos, geração automática de e-mails, tradução e integração com o Gmail.
Entre os nomes utilizados estavam:
-
AI Assistant
-
Llama
-
Gemini AI Sidebar
-
ChatGPT Sidebar
-
Grok
-
Google Gemini
Somadas, essas extensões ultrapassavam 260 mil instalações.
A estrutura maliciosa utilizava um iframe em tela cheia conectado ao domínio claude.tapnetic[.]pro, permitindo que funcionalidades fossem injetadas remotamente sem necessidade de atualização oficial na Chrome Web Store.
As capacidades identificadas incluíam:
-
Captura de conteúdo de páginas abertas;
-
Leitura direta de e-mails a partir do DOM do Gmail;
-
Transcrição de voz via reconhecimento de fala;
-
Envio das informações coletadas para servidores externos.
Na prática, mensagens e dados sensíveis podiam ser extraídos do ambiente do Gmail e transferidos para infraestrutura controlada pelos operadores da extensão.
287 extensões vendiam histórico de navegação
Além dessas campanhas direcionadas, um relatório recente apontou a existência de 287 extensões do Chrome que coletavam o histórico de navegação dos usuários e o revendiam para empresas de data brokerage. Juntas, essas ferramentas somavam 37,4 milhões de instalações — cerca de 1% da base global do navegador.
O modelo de negócio é direto: capturar o comportamento online dos usuários e comercializar essas informações para companhias de publicidade e inteligência de mercado.
Os casos reforçam a necessidade de auditoria rigorosa de permissões e da revisão periódica das extensões instaladas, já que ferramentas aparentemente legítimas podem se tornar vetores silenciosos de exfiltração de dados.
