Se você usa o Google Chrome, preste atenção: você pode estar executando extensões maliciosas mesmo sem saber. Conforme relatado pelo The Hacker News, pesquisadores de segurança cibernética da equipe de pesquisa de ameaças da Socket identificaram 108 extensões disponíveis no Google Chrome que roubam credenciais de login, IDs de usuário e dados de navegação. Todas as 108 extensões encaminham essas informações de volta para servidores controlados por um único operador, apesar dessas extensões serem publicadas por cinco desenvolvedores diferentes (GameGen, InterAlt, Rodeo Games, SideGames e Yana Project). Essas extensões têm coletivamente cerca de 20.000 instalações, o que não é um conjunto enorme de alvos considerando os 3,62 bilhões de usuários do Chrome, mas ainda é uma preocupação dado o número de extensões envolvidas neste esquema coordenado.
A equipe do Socket identificou que existem algumas categorias principais nas quais essas extensões são publicadas: Clientes da barra lateral do Telegram, que exibem uma interface de bate-papo do Telegram funcional no navegador; jogos de caça-níqueis e Keno, que oferecem uma experiência de jogo jogável; “melhoradores” do YouTube e TikTok; extensões de utilitários de página; e uma ferramenta de tradução de texto. Todas as extensões parecem oferecer os serviços anunciados na Chrome Web Store, ao mesmo tempo que executam programas maliciosos sob a superfície.
Os usuários que instalam o cliente Telegram podem obter uma experiência de bate-papo funcional, mas por baixo, a extensão está roubando as sessões do Telegram Web do usuário a cada 15 segundos, o que vaza todas as mensagens, contatos e contas vinculadas. 54 das extensões roubam a identidade da sua conta do Google quando você clica na opção “fazer login”, o que vaza seu e-mail, nome e foto do perfil para a operadora. (Notavelmente, o esquema não concede ao operador acesso à sua conta do Google.) Quarenta e cinco das extensões têm um backdoor que pode abrir qualquer URL que o operador desejar em seu navegador. Setenta e oito extensões podem injetar código HTML em seu navegador. Cinco extensões podem remover as medidas de segurança do YouTube e TikTok para injetar anúncios e sobreposições de jogos de azar nos sites. E quando você se inscreve na ferramenta de tradução de texto, ela envia seu e-mail e nome completo para o servidor, assim como tudo o que você traduz com a extensão.
Como se proteger dessas extensões maliciosas
A primeira coisa que você deve fazer é verificar se alguma dessas extensões está sendo executada em seu navegador. Algumas das extensões mais populares identificadas aqui incluem “Telegram Multi-account”, “Black Beard Slot Machine”, “Page Locker” e “InterAlt”, mas você pode encontrar uma lista completa das extensões, incluindo seus IDs de extensão do Chrome, no relatório do Socket aqui.
O que você acha até agora?
Se você usou o Telegram Multi-account, a Socket recomenda sair de todas as sessões do Telegram Web usando o aplicativo Telegram. Você pode encontrar a opção em Configurações > Dispositivos > Encerrar todas as outras sessões. Se você fez login em alguma dessas extensões com sua conta do Google, presuma que sua identidade foi exposta e revise as permissões de aplicativos de terceiros aqui. Infelizmente, se você usou a Tradução de Texto com seu e-mail, seu nome e endereço de e-mail foram expostos.
No futuro, tenha extremo cuidado antes de instalar novas extensões em seu navegador. Embora a Chrome Web Store deva conter apenas extensões “seguras”, programas maliciosos chegam ao mercado. Sempre revise cuidadosamente cada listagem antes de instalar a extensão: se a extensão exigir informações confidenciais, não tiver muitas análises ou se a listagem for mal construída, é melhor evitá-la totalmente.
