Campanha Massiva de Extensões Falsas do Chrome Rouba Dados Corporativos Sensíveis

Pesquisadores de segurança identificaram uma campanha massiva e coordenada usando extensões falsas do Google Chrome para roubar dados corporativos sensíveis de empresas ao redor do mundo. A campanha é notável pela sua escala e sofisticação técnica. ## A campanha em números - Mais de 35 extensões maliciosas identificadas, algumas com mais de 100.000 instalações - Empresas em mais de 40 países afetadas - Dados de centenas de organizações exfiltrados antes da detecção - As extensões ficaram ativas na Chrome Web Store por períodos de 3 a 18 meses ## Como as extensões operam As extensões se disfarçam como ferramentas legítimas de produtividade (bloqueadores de anúncios, verificadores de gramática, ferramentas de PDF, gerenciadores de senhas falsos). Uma vez instaladas, executam um conjunto de técnicas maliciosas: ### Roubo de credenciais Interceptam formulários de login antes da submissão, capturando username e senha em texto claro antes da criptografia HTTPS. ### Session hijacking Roubam cookies de sessão de serviços corporativos como Microsoft 365, Google Workspace, Salesforce e portais de VPN. Com um cookie de sessão ativo, o atacante pode acessar a conta sem necessidade de senha. ### Exfiltração de e-mails Leem e-mails diretamente do Gmail e Outlook Web via APIs de extensão, exfiltrando comunicações corporativas sensíveis. ### Bypass de 2FA Capturam códigos TOTP em tempo real à medida que são inseridos, permitindo acesso mesmo em contas com autenticação de dois fatores ativa. ## Proteção corporativa 1. Implemente política de whitelist de extensões via Google Admin Console 2. Bloqueie instalação de extensões não aprovadas via política corporativa 3. Audite extensões instaladas nos dispositivos corporativos 4. Implemente soluções de Browser Security como CrowdStrike Falcon for Browsers 5. Treine funcionários para não instalar extensões não aprovadas pelo TI