Duas extensões maliciosas para o Google Chrome foram descobertas espionando silenciosamente usuários e roubando credenciais de login em mais de 170 sites populares, incluindo plataformas de e-mail, redes sociais, serviços bancários e ambientes corporativos. As extensões estavam disponíveis na Chrome Web Store e já haviam sido instaladas por milhares de pessoas.
As extensões foram publicadas sob o mesmo nome e pelo mesmo desenvolvedor, que usou descrições técnicas legítimas para parecer confiável. Elas se apresentavam como ferramentas para teste de velocidade de internet e serviços para profissionais de comércio exterior, mas escondiam um código que monitorava a atividade do navegador. Ao serem instaladas, as extensões coletavam dados inseridos em formulários de login e os enviavam a um servidor remoto controlado pelos atacantes.
Isso incluía nomes de usuário, senhas e outros dados sensíveis usados em sites amplamente acessados pelos usuários, colocando contas pessoais e corporativas em risco. O comportamento malicioso só foi descoberto após análise de especialistas, que identificaram a interceptação de tráfego e a exfiltração de credenciais de forma oculta. As extensões conseguiam acessar todos os sites visitados, inclusive páginas com conexões seguras (HTTPS), desde que o usuário interagisse com campos de login.
Embora já tenham sido removidas da Chrome Web Store após a denúncia, as extensões ainda podem estar ativas nos navegadores de quem as instalou anteriormente. Isso significa que a ameaça permanece até que o usuário remova manualmente o complemento malicioso. Esse tipo de ataque mostra como extensões aparentemente inofensivas podem se tornar portas de entrada para cibercriminosos, especialmente quando recebem permissões excessivas durante a instalação, como acesso irrestrito ao conteúdo das páginas.
A coleta de credenciais não apenas compromete a privacidade, mas também permite acesso indevido a sistemas corporativos, roubo de identidade, golpes financeiros e espionagem digital, dependendo do tipo de serviço invadido.
