Extensões maliciosas: quando o Chrome vira porta dos fundos corporativo

Nos últimos meses, campanhas inteiras passaram a usar extensões do Chrome como peça central de ataques contra empresas, explorando justamente a confiança dos usuários na Chrome Web Store.
De acordo com pesquisadores de segurança, foram identificadas extensões que se passam por ferramentas de produtividade corporativa, roubam cookies de autenticação, sequestram sessões e até bloqueiam páginas administrativas de segurança usadas para resposta a incidentes.​

Pesquisadores identificaram uma campanha coordenada de 30 extensões falsas para Chrome, distribuídas como “assistentes de IA” (para ChatGPT, Claude, Gemini, Grok etc.) que já foram instaladas por mais de 260 000 usuários. Apesar de parecerem genuínas, essas extensões compartilham a mesma base de código, permissões e infraestrutura de backend, indicando um único operador por trás da campanha.

A arquitetura dessas extensões é particularmente arriscada porque elas não executam lógica localmente, mas carregam a maior parte da interface e comportamento por meio de iframes remotos controlados por servidores externos. Isso permite que o backend mude o comportamento da extensão silenciosamente, sem necessidade de uma atualização na Chrome Web Store, burlando assim a revisão tradicional de código.

Tecnicamente, as extensões injetam iframes de tela cheia que atuam como proxy privilegiado no navegador, permitindo:

extração de conteúdo de páginas ativas (incluindo títulos, texto e metadados), mesmo em sessões autenticadas;

leitura e exfiltração de conteúdo de Gmail, incluindo mensagens visíveis e rascunhos, por meio de scripts específicos;

uso de APIs como Web Speech API para habilitar reconhecimento de voz e captação de áudio caso ativado;

transmissão de dados coletados para infraestrutura externa controlada.

Além disso, a campanha usa táticas de extensão spraying (publicação de múltiplas versões com nomes e IDs diferentes) para contornar remoções e manter disponibilidade no marketplace quando uma versão é removida, outra aparece rapidamente com o mesmo código malicioso.

Esse caso ilustra um ataque que explora diretamente a confiança do usuário em ferramentas de IA, combinando exfiltração de dados sensíveis e persistência por controle remoto do comportamento da extensão, destacando a necessidade de governança e monitoramento específico para artefatos de navegador.

Em um caso recente, cinco extensões agiam em cadeia: algumas focadas em roubar tokens de sessão de plataformas empresariais, outras responsáveis por injetar esses cookies no navegador do atacante para acesso direto às contas das vítimas, sem exibir qualquer tela de login.​
Segundo a análise publicada, parte dessas extensões ainda manipulava o DOM das páginas a cada poucos milissegundos para esconder ou bloquear mais de 40 interfaces de segurança usadas por administradores, impedindo ações básicas como troca de senha ou ajustes de política de segurança.​

O resultado é que o navegador, que deveria ser apenas uma ferramenta de acesso, passa a funcionar como um implante persistente no dia a dia de trabalho, posicionado exatamente entre o usuário e os sistemas críticos da empresa.

O ecossistema de extensões do Google Chrome transformou o navegador em uma verdadeira plataforma de execução dentro das empresas. Contudo, o mesmo modelo que permite ganho de produtividade também amplia significativamente a superfície de ataque corporativa.

Nos últimos anos, campanhas sofisticadas passaram a utilizar extensões maliciosas como vetor primário de comprometimento, explorando a confiança dos usuários na Chrome Web Store e a tendência organizacional de permitir instalação sem controles rigorosos.

Vetores técnicos explorados

Extensões maliciosas normalmente abusam de permissões amplas concedidas no momento da instalação, como:

• cookies
• storage
• activeTab
• webRequest
• scripting
• <all_urls>

Com essas permissões, o código JavaScript executado no contexto do navegador pode:

1. Exfiltrar cookies de autenticação
   • Captura de tokens de sessão (JWT, OAuth, SSO).
   • Bypass de MFA via reutilização de sessão ativa.
     
2. Sequestro de sessão (Session Hijacking)
   • Injeção de cookies roubados no navegador do atacante.
   • Acesso direto à conta corporativa sem necessidade de login.
     
3. Manipulação dinâmica do DOM
   • Ocultação de alertas de segurança.
   • Bloqueio de páginas administrativas.
   • Injeção de iframes maliciosos para captura de credenciais.
     
4. Comunicação C2 via APIs legítimas
   • Uso de fetch() ou XMLHttpRequest para exfiltração.
   • Encapsulamento em tráfego HTTPS aparentemente legítimo.

Cadeias de ataque com múltiplas extensões

Em campanhas recentes observou-se uso coordenado de múltiplas extensões:

• Extensão A → coleta cookies e tokens.
• Extensão B → envia dados ao C2.
• Extensão C → injeta sessão no ambiente do atacante.
• Extensão D → manipula interface para ocultar indícios.

Esse modelo modular reduz detecção, pois cada extensão executa uma função aparentemente limitada.

Por que o impacto é elevado no ambiente corporativo?

O navegador tornou-se um ponto central de autenticação para:

• Plataformas SaaS (CRM, ERP, EDR, SIEM).
• Consoles administrativos em nuvem.
• Ferramentas financeiras.
• Painéis de segurança.

Quando uma extensão compromete o navegador, ela herda implicitamente o contexto de confiança da sessão autenticada do usuário, inclusive privilégios administrativos.

Indicadores técnicos de comprometimento

• Solicitação excessiva de permissões.
• Código ofuscado ou fortemente minificado.
• Comunicação frequente com domínios recém-registrados.
• Manipulação constante do DOM a cada poucos milissegundos.
• Atualizações silenciosas com mudança de comportamento.

VPNs falsas: “privacidade” que encapsula o roubo de dados

Enquanto extensões voltadas a produtividade sequestram sessões, um segundo vetor ganhou escala: extensões que se apresentam como VPNs gratuitas ou ferramentas de privacidade, mas que, na prática, atuam como canal de espionagem.
Relatórios recentes identificaram uma campanha batizada de GhostPoster, com ao menos 17 extensões maliciosas para Chrome, Edge e Firefox, somando mais de 840 mil instalações.

De acordo com levantamentos independentes, parte dessas extensões permaneceu ativa por quase cinco anos em alguns dispositivos, explorando falhas nos processos de revisão das lojas oficiais e se escondendo em artefatos aparentemente inofensivos, como ícones em arquivos de imagem.
Em outro caso, uma VPN “verificada” com mais de 100 mil instalações foi flagrada capturando screenshots silenciosos de toda a navegação, incluindo acessos bancários, documentos sensíveis e fotos privadas, antes de ser removida das lojas de extensões.

Mesmo após a remoção por fabricantes de navegador, essas extensões continuam funcionando normalmente nos dispositivos já infectados, o que transforma a sessão web em um túnel constante de exfiltração de dados.

Por que o navegador virou o novo endpoint corporativo

Hoje, e-mail, CRM, ERP, plataformas de nuvem, repositórios de código e soluções de colaboração vivem majoritariamente dentro do navegador, muitas vezes protegidos apenas por SSO e MFA.​​
Ao mesmo tempo, o controle formal de endpoints costuma mirar sistemas operacionais, agentes EDR, servidores e aplicações tradicionais, deixando o browser em uma espécie de “zona cinza” entre TI, Segurança e a rotina do usuário.​

Nesse contexto, extensões com permissões amplas, como ler e alterar dados em todos os sites visitados, interceptar tráfego, manipular páginas e acessar dados de clipboard, passam a ter capacidade equivalente à de um malware de endpoint.
Segundo análises de incidentes recentes, campanhas baseadas em extensões maliciosas monitoram dezenas de ferramentas de segurança no navegador e impedem explicitamente o acesso a consoles de resposta a incidentes, páginas de alteração de senha e configurações de tenants de segurança.​O impacto para a governança corporativa é direto: uma empresa pode ter firewall, EDR, políticas formais e ainda assim conviver com vazamento silencioso de sessões, dados e identidades pela camada de navegador.​​
Esse descompasso também se reflete em iniciativas como mapeamento de superfície de ataque: organizações que acreditavam ter um inventário controlado descobriram volumes muito maiores de ativos expostos e vetores ligados a endpoints e browsers do que imaginavam.​

Governança, identidade e resposta: o que muda para CISOs e SecOps

Para CISOs e heads de SecOps, o navegador deixa de ser um tema meramente “de usuário” e passa a ser um ponto formal da estratégia de risco e identidade.​
Isso implica enxergar extensões e “VPNs de navegador” como parte da superfície de ataque, com políticas e monitoramento tão rígidos quanto os aplicados a agentes instalados no sistema operacional.​

Na prática, algumas frentes se tornam essenciais:

• Delimitar quais extensões podem ser instaladas em perfis corporativos, com listas de permissão baseadas em risco, contexto e necessidade real.
• Tratar plugins de VPN e proxies de navegador como ativos de alto risco, especialmente em cenários híbridos e BYOD, onde o mesmo browser acessa recursos pessoais e corporativos.
• Incorporar o comportamento de navegação e eventos de extensões à telemetria de segurança, para que desvios sejam correlacionados com outras evidências de ataque.​
• Garantir que identidades não concentrem privilégios excessivos, de forma que a captura de uma sessão de navegador não resulte automaticamente em acesso amplo a sistemas críticos.​​

Como destaca o material institucional da Asper, a empresa atua como MSSP com foco em segurança em camadas, combinando governança de identidade, proteção de endpoint e monitoramento contínuo por meio de seus Cyber Fusion Centers.​
Essa abordagem é particularmente relevante quando o vetor é discreto e distribuído, como múltiplas extensões em múltiplas máquinas e contas, exigindo correlação constante e visão de contexto.​

Como o Cyber Fusion Center da Asper fecha a brecha do navegador

Quando o navegador passa a ser tratado como endpoint, a resposta efetiva depende de integração profunda entre telemetria, identidade e automação de resposta, exatamente o papel do Cyber Fusion Center (CFC) da Asper.​
O CFC é um centro de operações de segurança de nova geração, capaz de correlacionar eventos de múltiplas ferramentas, automatizar respostas e traduzir sinais técnicos em decisões de negócio.​

Na camada de endpoint, soluções avançadas permitem detectar comportamentos suspeitos associados a roubo de credenciais, execução de payloads auxiliares e tentativas de persistência associadas a extensões e navegadores.​​
Essa visão comportamental é fundamental para identificar, por exemplo, quando um processo de navegador começa a se comunicar com servidores pouco usuais, manipular cookies de autenticação ou bloquear o acesso a portais de segurança usados pela equipe interna.

Na camada de identidade, a Asper destaca o uso de governança com SailPoint para aplicar o princípio do menor privilégio e garantir que identidades tenham apenas o acesso estritamente necessário.​​
Segundo conteúdos da própria empresa, essa governança de acesso reduz o impacto de uma credencial vazada em incidentes envolvendo malware, infostealers e sequestro de sessão, uma vez que limita a movimentação lateral em ambientes que utilizam SSO.

O CFC também integra fontes como SIEM, soluções de análise de logs e detecção de comportamento anômalo para enxergar o navegador como parte do fluxo de ataque, e não apenas como um cliente passivo.​​
Com isso, torna-se possível orquestrar ações como isolar endpoints suspeitos, revogar sessões, ajustar políticas de acesso e disparar campanhas de caça a ameaças em escala, quando sinais de comprometimento associados a extensões aparecem

Recomendação:

• Política de allowlist de extensões;
• Bloqueio de instalação não autorizada via GPO ou MDM;
• Revisão periódica de extensões instaladas;
• Inspeção de tráfego para domínios suspeito;
• Análise comportamental do navegador via ED;
• Monitoramento de uso anômalo de tokens de sessão;
• Redução do tempo de vida de tokens;
• Implementação de Binding de sessão (Device/Token binding);
• Uso de navegadores isolados para acesso administrativo.

Próximos passos: transformar o navegador em ativo governado

Diante de campanhas que somam centenas de milhares de instalações maliciosas e infestam navegadores corporativos por anos, a mensagem é clara: o browser já é um endpoint crítico e precisa ser tratado como tal.
Para empresas brasileiras, que convivem com um cenário de infostealers, vazamento massivo de credenciais e ataques focados em sessões autenticadas, deixar o navegador fora da estratégia de proteção deixa uma brecha difícil de justificar.​

A resposta moderna passa por segurança em camadas, governança de identidades, telemetria unificada e atuação proativa de um CFC de nova geração, capaz de olhar além dos “painéis verdes”.​​
Transformar o navegador em um ativo governado, com políticas claras de extensões, monitoramento contínuo e integração plena à cadeia de identidade, é um passo decisivo para que extensões maliciosas e VPNs falsas deixem de ser uma porta dos fundos silenciosa dentro da rotina de trabalho.

Se você quer avaliar como está a exposição da sua empresa a vetores baseados em navegador, o time técnico da Asper pode apoiar desde o diagnóstico de maturidade até a operação contínua pelo Cyber Fusion Center, alinhando controle de superfície de ataque, identidade e endpoint em um único modelo de defesa.