Mais de 260 mil usuários do Chrome foram afetados por 30 extensões falsas de IA que roubavam dados de navegação e e-mail

Dezenas de milhares de pessoas baixaram o que acreditavam ser ferramentas úteis de IA para seus navegadores, apenas para dar aos hackers acesso direto às suas atividades online mais privadas, incluindo e-mails.

Segundo a LayerX, mais de 260 mil usuários do Chrome instalaram pelo menos 30 extensões maliciosas para navegadores, disfarçadas de assistentes de IA. Essas extensões alegavam oferecer recursos como suporte por chat, redação de e-mails e resumos de conteúdo, mas, na realidade, estavam coletando dados silenciosamente em segundo plano.

Nomes de IA confiáveis usados como fachada

O momento não foi aleatório. Com as pessoas adotando com entusiasmo ferramentas de IA tanto para o trabalho quanto para uso pessoal, os atacantes aproveitaram essa empolgação para se infiltrar sem serem detectados. As extensões falsas alegavam vínculos com serviços de IA conhecidos, como ChatGPT, Claude, Gemini e Grok, marcas que inspiram reconhecimento e confiança instantâneos.

Embora tivessem nomes diferentes, exibissem logotipos variados e apresentassem descrições distintas, todas as 30 extensões eram fundamentalmentedentem sua essência. Elas executavam o mesmo código subjacente, solicitavam as mesmas permissões amplas e encaminhavam dados para os mesmos servidores ocultos.

Os pesquisadores da LayerX descreveram a abordagem como "pulverização de extensões", inundando a loja com variantes quase idênticas dent evitar a detecção e remoção pelos moderadores da Chrome Web Store. A estratégia deu certo: várias extensões chegaram a ser destacadas, aumentando sua legitimidade aparente e ajudando a acumular mais instalações.

O que tornava essas extensões particularmente insidiosas era seu método de operação. Em vez de realizar qualquer processamento de IA genuíno localmente no dispositivo do usuário, elas inseriam sobreposições ocultas em tela cheia hospedadas em servidores controlados pelo atacante, sendo um dos domínios confirmados o tapnetic.pro.

Essa configuração permitia que os operadores alterassem o comportamento da extensão instantaneamente, sem nunca submeter as atualizações ao processo de revisão do Google. Os usuários não tinham como perceber as mudanças.

Uma vez ativadas, as extensões podiamtractexto, títulos de páginas e outros elementos de qualquer site visitado por uma pessoa, incluindo páginas protegidas que exigiam login, como portais de trabalho ou contas pessoais, e retransmitir tudo para servidores remotos.

Usuários do Gmail na mira

Quinze das 30 extensões tinham como alvo específico os do Gmail . A LayerX apelidou esse grupo de "cluster de integração com o Gmail". Comercializadas sob nomes diferentes e apresentadas para usos distintos, todas as 15 compartilhavam o mesmo código direcionado ao Gmail. Ele injetava scripts diretamente na interface do Gmail, capturando repetidamente o texto de quaisquer conversas abertas visíveis na tela.

Em termos mais simples, todo o conteúdo de e-mails, incluindo rascunhos e conversas inteiras, poderia ser extraído do Gmail e enviado para os servidores dos atacantes. O relatório acrescentou que o uso das ferramentas de IA integradas ao Gmail, como respostas inteligentes ou resumos de mensagens, às vezes desencadeava uma captura ainda maior de conteúdo, enviando-o para além do ecossistema do Google.

Isso se encaixa em um padrão mais amplo e crescente. A LayerX destacou que, apenas um mês antes, expôs outras 16 extensões projetadas para roubar tokens de sessão de do ChatGPT , afetando mais de 900.000 usuários. Em outro caso, duas extensões de barra lateral com inteligência artificial vazaram históricos de bate-papo do DeepSeek e do ChatGPT, afetando outras 900.000 instalações.

Com o Chrome ostentando cerca de 3 bilhões de usuários em todo o mundo e o Gmail atendendo a 2 bilhões, o ecossistema de extensões do navegador se torna um alvo especialmente tentador para esse tipo de operação.

Quem suspeitar que foi afetado pode consultar a lista de extensões maliciosas publicada pela LayerX. Basta acessar “chrome://extensions” no seu navegador para inspecionar os itens instalados e desinstalar qualquer um que pareça suspeito. medida inteligente neste momento.

Zargarov fez um alerta contundente: "À medida que a IA generativa continua a ganhar popularidade, os profissionais de segurança devem esperar que campanhas semelhantes se proliferem." Especialistas em segurança enfatizam que o caminho mais seguro é confiar em recursos de IA já integrados a aplicativos e plataformas confiáveis, em vez de arriscar com extensões de terceiros desconhecidas.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas .