Nas últimas semanas, surgiram várias extensões maliciosas para o Google Chrome que foram feitas por ferramentas de produtividade orientadas para plataformas de recursos humanos e ERP, como Workday, NetSuite ou SuccessFactors. Pesquisadores de segurança do Socket identificaram cinco complementos que, embora fossem promovidos como utilitários para facilitar o acesso a ferramentas premium, escondem capacidades projetadas para roubar sessões e bloquear qualquer tentativa de resposta por parte dos equipamentos de segurança.
As extensões detectadas incluem nomes como DataByCloud Access, DataByCloud 1, DataByCloud 2, Tool Access 11 e Software Access, com várias versões publicadas sob um ou dois editores diferentes. Algumas chegaram a acumular várias centenas ou milhares de instalações antes que o Google retirasse a maioria delas da loja oficial; no entanto, alguns instaladores persistiram em repositórios de terceiros, o que aumenta o risco de usuários e empresas sem controle suficiente de software acabarem em execução. O relatório técnico do Socket descreve em detalhes como funcionam e porque são especialmente perigosas: Análise de Socket.
A técnica central que utilizam estas extensões é a exploração de cookies de autenticação: coletam os cookies de sessão de domínios específicos relacionados a serviços corporativos e os enviam periodicamente para servidores controlados pelos atacantes. Em alguns casos isto é complementado com a capacidade inversa: receber cookies de um servidor remoto e injetar no navegador do atacante para assumir diretamente a sessão da vítima. Esse mecanismo de "injeção" permite ao atacante trabalhar com a mesma identidade que a pessoa afetada sem necessidade de conhecer sua senha, algo que Socket documenta como um método eficiente de sequestro de contas.
Mas a ameaça não fica no roubo passivo de credenciais. Vários desses plugins manipulam o Document Object Model (DOM) de páginas administrativas críticas para impedir que os equipamentos de segurança acessem opções de gestão de contas, como alterações de senha, controle de sessões, configuração de proxys de segurança ou listas de IP permitidas. Ao remover ou redireccionar o conteúdo de páginas administrativas, essas extensões podem neutralizar os controles que permitiriam revogar sessões comprometidas ou fechar vetores de acesso indesejados. O resultado é uma janela de exposição maior, em que os atacantes não só roubam acesso, mas dificultam a remediação do mesmo ambiente que deveria protegê-lo.
Os pesquisadores também observaram técnicas para complicar a inspeção do código pelos administradores: alguns complementos integravam livrarias que tentam desativar as ferramentas de desenvolvedor do navegador, com o objetivo de ocultar seu funcionamento e dificultar a análise manual. O projeto de código aberto utilizado neste caso, conhecido como DisableDevtool, está disponível publicamente no GitHub e explica como essa camada de inspeção é manipulada: DisableDevtool no GitHub.
Um detalhe-chave que aponta para uma operação coordenada é o aparecimento, em todas as extensões, de uma mesma lista de identificadores de outras extensões de segurança —ferramentas concebidas precisamente para manipular ou auditar cookies, cabeçalhos ou sessões. Essa lista atua como um inventário que permite aos atacantes detectar se o navegador da vítima tem utilidades que poderiam interferir com suas ações, e presumivelmente adaptar seu comportamento para evitar serem detectados. A repetição deste padrão sugere ou bem que um mesmo ator publicou as diferentes extensões sob nomes diferentes, ou que existe uma caixa de ferramentas comum nas mãos de vários operadores.
Entre as diferenças técnicas observadas, a extensão denominada Software Access destaca por sua sofisticação: além de roubar cookies, pode receber cookies desde o seu servidor de comando e controle, eliminando as existentes e escrevendo as novas no navegador alvo através da API de cookies do Chrome. Com isso o atacante instala no seu próprio navegador o estado de autenticação da vítima e pode operar como se fosse essa pessoa. Além disso, incorpora protecções em campos de entrada de senhas para dificultar sua revisão manual.
Embora o Google tenha retirado a maioria desses plugins da Chrome Web Store após os alertas, a presença em sites externos levanta riscos remanescentes. Para aqueles que usam navegadores gerenciados por empresas ou acessam serviços críticos do navegador, este episódio é um lembrete de que as extensões, ao contrário das aplicações nativas, têm um nível de acesso à atividade web que as torna pontos de ataque muito valiosos. O Google e outros atores de segurança têm anos a insistir na necessidade de gerenciar e auditar as extensões instaladas; a documentação oficial do Google sobre como rever e remover extensões pode servir como guia básica para usuários: Como remover extensões no Chrome.
Que medidas práticas convém tomar agora mesmo? Em primeiro lugar, remover imediatamente qualquer extensão suspeita ou qualquer uma das que figuram nos relatórios. Em seguida, recomenda-se forçar o fechamento de sessões em serviços críticos e mudar senhas, especialmente se o navegador for usado para acessar contas empresariais. A ativação da autenticação multifator (2FA) é um travão importante, embora não infalível se o atacante conseguir injetar cookies válidos; por isso também é prudente rever os registros de acesso das plataformas utilizadas - muitos serviços mostram sessões ativas e endereços IP recentes - e revogar aquelas que não reconheçamos. Em ambientes corporativos, a resposta deve incluir a revisão de dispositivos, a rotação de credenciais de contas de serviço e a aplicação de bloqueios a partir da administração central quando possível.
Este caso mostra que a segurança do navegador é agora uma peça essencial da ciberdefesa empresarial. Não se trata apenas de evitar extensões maliciosas, mas de estabelecer controlos que permitam auditar e limitar quais complementos podem ser instalados, utilizar políticas de gestão centralizada de extensões e manter um inventário de software confiável. Para profissionais de TI e responsáveis pela segurança, os guias e recomendações de fornecedores e centros de resposta a incidentes são úteis como referência quando se responde a este tipo de compromissos. Socket oferece uma análise técnica e amostras que permitem aprofundar as técnicas observadas: ler relatório do Socket.
Em suma, as extensões de navegador são muito convenientes, mas também podem ser armas poderosas em mãos erradas. Manter uma higiene digital rigorosa, limitar o uso de plugins aos estritamente necessários e dispor de controles de segurança sobre as estações de trabalho e navegadores corporativos são ações que reduzem significativamente o risco de um simples clique terminar em uma intrusão de maior alcance.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...