Pesquisadores de cibersegurança identificaram uma ameaça grave escondida no navegador Google Chrome: extensões maliciosas que sequestram silenciosamente contas de usuários, inclusive contas corporativas.
Disfarçadas como ferramentas legítimas de produtividade, segurança ou acesso a plataformas empresariais, essas extensões conseguem roubar sessões de login, bloquear páginas de segurança e manter acesso persistente às contas, sem levantar suspeitas.
Extensões falsas se passam por ferramentas corporativas conhecidas
As extensões envolvidas nessa campanha maliciosa se apresentam como integrações com plataformas amplamente utilizadas no ambiente corporativo, como:
- Workday
- NetSuite
- SAP SuccessFactors
Segundo a Threat Research Team da empresa Socket, ao menos cinco extensões maliciosas foram identificadas até o momento. Elas eram divulgadas como add-ons úteis para o dia a dia profissional, mas tinham como verdadeiro objetivo o sequestro de contas.
Mesmo após a remoção de algumas delas da Chrome Web Store, versões ainda circulam em sites de terceiros, mantendo o risco ativo.
Por que essas extensões passam despercebidas?
Essas extensões foram cuidadosamente projetadas para parecer legítimas:
- Nomes profissionais e corporativos
- Interfaces bem desenvolvidas
- Descrições focadas em produtividade e segurança
- Políticas de privacidade que afirmam não coletar dados pessoais
Algumas prometem acesso rápido a sistemas corporativos, enquanto outras alegam restringir ações para “proteger contas empresariais”. Para quem lida diariamente com ferramentas de trabalho, a proposta parece confiável — e raramente gera desconfiança.
Como funciona o ataque após a instalação
Depois de instaladas, as extensões maliciosas operam silenciosamente em segundo plano, sem alertas visíveis ao usuário. Entre as ações realizadas estão:
- Captura de cookies de sessão, que permitem acesso às contas sem necessidade de senha
- Uso desses cookies para login direto nas plataformas, como se fossem o usuário legítimo
- Bloqueio de páginas de segurança, impedindo:
- Troca de senha
- Desativação de contas
- Visualização do histórico de logins
- Acesso às configurações de autenticação em dois fatores (2FA)
Uma das extensões identificadas permite, inclusive, que invasores injete sessões roubadas em outro navegador, garantindo acesso imediato e contínuo.
Um ataque que impede qualquer resposta de segurança
Esse tipo de ameaça vai além do roubo de credenciais. Ele neutraliza completamente a capacidade de resposta, tanto do usuário quanto das equipes de segurança.
Mesmo que atividades suspeitas sejam detectadas, as medidas tradicionais deixam de funcionar. Senhas não podem ser alteradas, configurações desaparecem e o 2FA se torna inacessível. Com isso, os criminosos mantêm acesso prolongado às contas sem interrupção.
O que fazer agora se você usa o Google Chrome
Se você utiliza o Chrome, é altamente recomendável revisar suas extensões imediatamente. O processo é simples:
- Acesse a lista de extensões do navegador
- Procure por nomes desconhecidos ou suspeitos, especialmente os que prometem acesso a plataformas corporativas
- Remova qualquer extensão suspeita
- Reinicie o navegador
Se sua conta do Chrome estiver sincronizada com outros dispositivos, repita o procedimento em todos eles antes de reativar a sincronização.
Altere senhas e revise a segurança das suas contas
Após remover a extensão maliciosa:
- Altere as senhas de todas as contas acessadas durante o período
- Se possível, faça isso a partir de outro navegador ou dispositivo
- Utilize gerenciadores de senha para criar credenciais fortes e exclusivas
Também é recomendado verificar se seu e-mail foi exposto em vazamentos anteriores. Muitos gerenciadores de senha oferecem scanners integrados para identificar credenciais comprometidas.
Caso encontre alguma exposição, altere as senhas imediatamente e revise o histórico de atividades das contas, observando logins, locais e dispositivos desconhecidos.
Boas práticas para evitar extensões maliciosas
Adotar hábitos simples reduz drasticamente os riscos:
- Instale apenas extensões realmente necessárias
- Quanto menos add-ons, menor a superfície de ataque
- Desconfie de extensões que prometem recursos premium para sistemas corporativos
- Empresas legítimas raramente exigem extensões para acessar suas plataformas
- Evite add-ons que pedem acesso a cookies, dados de navegação ou gerenciamento de contas
- Revise suas extensões a cada poucos meses
Softwares antivírus atualizados também ajudam a detectar extensões maliciosas, bloquear comportamentos suspeitos e alertar sobre ameaças baseadas no navegador.
Extensões úteis também podem ser armas silenciosas
Essa investigação mostra que extensões de navegador podem ser exploradas de forma extremamente sofisticada. Os falsos add-ons não utilizaram alertas chamativos nem comportamentos óbvios — eles se misturaram ao ambiente, pareceram profissionais e agiram em silêncio.
