Mais de 100 extensões maliciosas do navegador Chrome foram identificadas como parte de uma campanha de espionagem digital, roubo de credenciais e injeção de anúncios. A operação, iniciada em fevereiro de 2024, é atribuída a um grupo ainda desconhecido que distribui extensões disfarçadas de ferramentas úteis como VPNs, assistentes de produtividade e análise de mídia, mas que na verdade contêm funções ocultas para roubo de dados e execução remota de código.

Segundo especialistas, os criminosos criam sites falsos que imitam serviços legítimos como DeepSeek, Manus, DeBank, FortiVPN e Site Stats, incentivando usuários a instalarem extensões maliciosas diretamente pela Chrome Web Store. Após instaladas, as extensões capturam cookies, sequestram sessões, redirecionam tráfego para sites maliciosos, injetam anúncios e manipulam páginas para realizar tentativas de roubo de dados. Um dos truques usados para burlar políticas de segurança é a execução de código através do evento onreset em elementos temporários do DOM.

As permissões excessivas declaradas no manifesto das extensões também permitem acesso amplo ao navegador, facilitando atividades maliciosas. A maioria dos sites falsos utiliza identificadores de rastreamento do Facebook, indicando que a campanha pode usar páginas, grupos e anúncios da Meta para atrair vítimas. Algumas extensões até redirecionavam usuários que deixavam avaliações negativas para formulários privados, enquanto incentivavam avaliações positivas a permanecerem na loja oficial. Embora o Google já tenha removido as extensões, especialistas recomendam instalar apenas complementos de desenvolvedores confiáveis e revisar cuidadosamente as permissões e avaliações.