Ataque massivo a extensões do Chrome atinge milhões de usuários

Uma ampla campanha de ataque cibernético, focada em extensões do navegador Google Chrome, foi descoberta por pesquisadores de segurança digital. O ataque comprometeu pelo menos 33 extensões e pode ter afetado dados de aproximadamente 2,6 milhões de dispositivos em todo o mundo. O incidente veio à tona quando a Cyberhaven, empresa especializada em prevenção de perda de dados, identificou um código malicioso em uma de suas próprias extensões.

O ataque começou na véspera de Natal e explorou uma vulnerabilidade no sistema de autenticação de desenvolvedores da Chrome Web Store. Os invasores utilizaram técnicas sofisticadas de spear phishing para obter acesso às contas de desenvolvedores de extensões populares, permitindo que versões maliciosas fossem carregadas e distribuídas aos usuários.

A Cyberhaven foi uma das primeiras vítimas a detectar o ataque. Sua extensão, projetada para evitar que usuários insiram dados confidenciais em sites ou e-mails de forma inadvertida, foi rapidamente comprometida. “Nossa equipe confirmou um ataque cibernético ocorrido na véspera de Natal, afetando a extensão da Cyberhaven para o Chrome”, afirmou a empresa em um comunicado oficial. “Relatórios públicos indicam que este ataque fez parte de uma campanha mais ampla, direcionada a desenvolvedores de extensões de diversas empresas.”

A versão comprometida da extensão da Cyberhaven, identificada como 24.10.4, esteve disponível por 31 horas, entre 25 e 26 de dezembro. Durante esse período, navegadores Chrome com a extensão instalada baixaram e executaram automaticamente o código malicioso. Segundo a análise dos pesquisadores, o malware interagia com diferentes cargas maliciosas baixadas de um site que imitava o domínio oficial da Cyberhaven.

Campanha atinge outras extensões populares do Chrome

O ataque não se limitou à Cyberhaven. John Tuckner, fundador da Secure Annex, uma empresa especializada em análise e gerenciamento de extensões de navegador, relatou que pelo menos 19 outras extensões do Chrome também foram comprometidas. Os invasores utilizaram o mesmo método de spear phishing e criaram domínios falsos para distribuir cargas maliciosas e roubar credenciais de autenticação.

Esse incidente, no entanto, não é inédito. Em 2019, uma campanha semelhante visou extensões dos navegadores Chrome e Firefox, afetando cerca de quatro milhões de dispositivos, incluindo redes de grandes empresas como Tesla, Blue Origin e Symantec.

Além disso, as investigações revelaram uma tendência ainda mais preocupante. A extensão Reader Mode estava envolvida em uma campanha separada, que remonta pelo menos a abril de 2023. Esse ataque anterior utilizava uma biblioteca de código de monetização que coletava dados detalhados sobre todas as visitas a páginas da web realizadas por meio do navegador. John Tuckner identificou 13 extensões do Chrome, com um total de 1,14 milhão de instalações, que utilizavam essa biblioteca para coletar informações potencialmente sensíveis.

A tabela abaixo reúne algumas das extensões conhecidas que foram comprometidas. Caso você tenha utilizado alguma delas, recomenda-se alterar senhas e revisar credenciais de login.