Pesquisadores identificaram uma campanha que utiliza mais de 100 extensões maliciosas do Google Chrome para roubo de dados, disfarçadas como ferramentas legítimas como VPNs, assistentes de IA e utilitários de produtividade. As extensões estão sendo promovidas por meio de domínios falsos que imitam marcas conhecidas, incluindo Fortinet, YouTube, DeepSeek AI e Calendly.
Leia também
Europa cria banco de vulnerabilidades como o CVE
Como o Google usa I.A. para migrar seu próprio código
As extensões, embora ofereçam parte das funcionalidades prometidas, são programadas para roubar cookies do navegador, executar scripts remotos, redirecionar tráfego e até atuar como proxies controlados por servidores maliciosos. A campanha foi descoberta pela DomainTools, que identificou os domínios utilizados para enganar usuários, como fortivpn[.]com, youtube-vision[.]com e deepseek-ai[.]link.
Mesmo após a remoção de diversas extensões pela Google, algumas ainda permanecem disponíveis na Chrome Web Store. Segundo os pesquisadores, a persistência dos agentes maliciosos e a lentidão na detecção representam riscos contínuos aos usuários.
As extensões solicitam permissões perigosas como acesso a cookies, execução de scripts arbitrários e modificação de tráfego, o que pode resultar em sequestro de contas, roubo de informações pessoais e comprometimento de redes corporativas. Um dos exemplos, a extensão “fortivpn”, coleta todos os cookies do navegador, os compacta e envia para um servidor remoto.
Para mitigar os riscos, os especialistas recomendam instalar extensões apenas de desenvolvedores confiáveis, revisar cuidadosamente permissões solicitadas e verificar as avaliações e o histórico das extensões. O Google ainda não se pronunciou oficialmente sobre os esforços de contenção desta campanha.
