Mais de 100 extensões do Chrome Web Store roubavam dados e contas de usuários
Uma investigação revelou um grande número de extensões maliciosas no Chrome Web Store, projetadas para coletar dados de usuários, credenciais e injetar anúncios. Usuários que instalaram essas extensões devem removê-las imediatamente e revisar suas contas.
MundiX News·16 de abril de 2026·5 min de leitura·👁 9 views
Especialistas da empresa Socket descobriram um conjunto de 108 extensões maliciosas na Chrome Web Store que transmitiam dados de usuários para uma infraestrutura comum, além de injetar publicidade e JavaScript arbitrário nas páginas visitadas. No total, o malware foi instalado por cerca de 20.000 pessoas.
As extensões foram publicadas em nome de cinco contas diferentes: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. Para não levantar suspeitas, elas se disfarçavam de clientes Telegram, jogos de caça-níqueis e Keno, utilitários para melhorar o YouTube e TikTok, tradutores e ferramentas para trabalhar com abas. Embora a funcionalidade das extensões fosse diferente, o backend era o mesmo para todas: um servidor em um VPS-hosting Contabo no endereço 144.126.135[.]238.
"Todas as 108 extensões transmitem credenciais roubadas, IDs de usuários e dados de visualização de páginas para servidores operados pelo mesmo operador", enfatiza o pesquisador de segurança Kush Pandya.
Os analistas dividiram os malwares em vários grupos, com base no comportamento:
O maior cluster, com 78 extensões, injetava HTML controlado pelos invasores na interface (através da propriedade innerHTML);
54 extensões coletavam endereços de e-mail, nomes, avatares e Google Account ID das vítimas através da API chrome.identity.getAuthToken, além de roubar o OAuth2 Bearer-token – uma chave de curta duração que permite que aplicativos acessem os dados do usuário;
Outras 45 extensões continham um backdoor universal que era acionado quando o navegador era iniciado, acessava o servidor de controle e abria URLs arbitrários (sem necessidade de interação do usuário);
Cinco extensões usavam a API declarativeNetRequest para remover cabeçalhos de segurança (CSP, X-Frame-Options, CORS) de sites de destino antes que as páginas fossem carregadas e injetavam anúncios de cassino sobre o YouTube e TikTok.
Os pesquisadores destacaram separadamente a extensão mais perigosa: Telegram Multi-account (ID obifanppcpchlehkjipahhphbcbjekfa). A cada 15 segundos, ela coletava dados da sessão do Telegram Web do localStorage e os enviava para seus operadores. Além disso, sob o comando set_session_changed, a extensão limpava o localStorage da vítima, substituía-o pelos dados da sessão dos invasores e forçava a reinicialização do Telegram.
Não se sabe quem está por trás da campanha. No entanto, no código de várias extensões, os pesquisadores notaram comentários em russo, o que levou à suposição de uma operação MaaS (malware-as-a-service) de língua russa. Essa abordagem de "malware como serviço" permite que criminosos com menos conhecimento técnico utilizem ferramentas e infraestrutura já existentes para realizar ataques.
Os analistas da Socket notificaram os representantes do Google sobre suas descobertas, mas no momento da publicação do relatório, todas as 108 extensões ainda estavam disponíveis na Chrome Web Store. Os usuários que instalaram extensões maliciosas são aconselhados a removê-las imediatamente e sair de todas as sessões do Telegram Web através do aplicativo móvel do mensageiro. É também recomendável verificar as permissões concedidas a outras extensões instaladas e considerar a utilização de ferramentas de segurança para detectar comportamentos suspeitos no navegador.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da empresa Socket descobriram um conjunto de 108 extensões maliciosas na Chrome Web Store que transmitiam dados de usuários para uma infraestrutura comum, além de injetar publicidade e JavaScript arbitrário nas páginas visitadas. No total, o malware foi instalado por cerca de 20.000 pessoas.
As extensões foram publicadas em nome de cinco contas diferentes: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. Para não levantar suspeitas, elas se disfarçavam de clientes Telegram, jogos de caça-níqueis e Keno, utilitários para melhorar o YouTube e TikTok, tradutores e ferramentas para trabalhar com abas. Embora a funcionalidade das extensões fosse diferente, o backend era o mesmo para todas: um servidor em um VPS-hosting Contabo no endereço 144.126.135[.]238.
"Todas as 108 extensões transmitem credenciais roubadas, IDs de usuários e dados de visualização de páginas para servidores operados pelo mesmo operador", enfatiza o pesquisador de segurança Kush Pandya.
Os analistas dividiram os malwares em vários grupos, com base no comportamento:
O maior cluster, com 78 extensões, injetava HTML controlado pelos invasores na interface (através da propriedade innerHTML);
54 extensões coletavam endereços de e-mail, nomes, avatares e Google Account ID das vítimas através da API chrome.identity.getAuthToken, além de roubar o OAuth2 Bearer-token – uma chave de curta duração que permite que aplicativos acessem os dados do usuário;
Outras 45 extensões continham um backdoor universal que era acionado quando o navegador era iniciado, acessava o servidor de controle e abria URLs arbitrários (sem necessidade de interação do usuário);
Cinco extensões usavam a API declarativeNetRequest para remover cabeçalhos de segurança (CSP, X-Frame-Options, CORS) de sites de destino antes que as páginas fossem carregadas e injetavam anúncios de cassino sobre o YouTube e TikTok.
Os pesquisadores destacaram separadamente a extensão mais perigosa: Telegram Multi-account (ID obifanppcpchlehkjipahhphbcbjekfa). A cada 15 segundos, ela coletava dados da sessão do Telegram Web do localStorage e os enviava para seus operadores. Além disso, sob o comando set_session_changed, a extensão limpava o localStorage da vítima, substituía-o pelos dados da sessão dos invasores e forçava a reinicialização do Telegram.
Não se sabe quem está por trás da campanha. No entanto, no código de várias extensões, os pesquisadores notaram comentários em russo, o que levou à suposição de uma operação MaaS (malware-as-a-service) de língua russa. Essa abordagem de "malware como serviço" permite que criminosos com menos conhecimento técnico utilizem ferramentas e infraestrutura já existentes para realizar ataques.
Os analistas da Socket notificaram os representantes do Google sobre suas descobertas, mas no momento da publicação do relatório, todas as 108 extensões ainda estavam disponíveis na Chrome Web Store. Os usuários que instalaram extensões maliciosas são aconselhados a removê-las imediatamente e sair de todas as sessões do Telegram Web através do aplicativo móvel do mensageiro. É também recomendável verificar as permissões concedidas a outras extensões instaladas e considerar a utilização de ferramentas de segurança para detectar comportamentos suspeitos no navegador.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
