O Google removeu diversas extensões da Chrome Web Store após identificar que os complementos estavam envolvidos em roubo de cookies, sequestro de sessões e execução de código oculto nos navegadores das vítimas. As extensões, que aparentavam ser ferramentas legítimas, acumulavam milhares de downloads antes de serem retiradas do ar. De acordo com a investigação, os plugins se apresentavam como utilitários de produtividade, personalização e suporte a pesquisas online.
No entanto, após a instalação, passavam a se comunicar com servidores externos para receber instruções adicionais e ativar funcionalidades maliciosas. Entre as ações identificadas estavam a coleta de cookies de autenticação e tokens de sessão, o que poderia permitir que invasores assumissem o controle de contas sem necessidade de senha. Essa técnica é amplamente usada para contornar autenticação multifator quando o token já está válido. Os pesquisadores também observaram que algumas extensões utilizavam injeção de scripts em páginas visitadas, possibilitando monitoramento da atividade do usuário e manipulação de conteúdos exibidos no navegador.
Em certos casos, o comportamento malicioso só era ativado após atualizações posteriores à aprovação inicial na loja. A campanha empregava técnicas de ofuscação de código, dificultando a análise e atrasando a detecção pelas ferramentas automáticas de segurança. Isso permitiu que as extensões permanecessem ativas por um período considerável antes da remoção. Após a identificação das atividades suspeitas, o Google desativou os plugins envolvidos e afirmou que reforçou seus mecanismos de monitoramento e revisão de extensões. A empresa recomenda que usuários revisem regularmente as permissões concedidas e removam extensões que não utilizam.
