Extensões falsas de IA no Chrome roubam dados a 300 mil utilizadores
Uma campanha maliciosa de extensões do Google Chrome afetou mais de 300 mil utilizadores, fazendo-se passar por assistentes de inteligência artificial. Sob o disfarce de ferramentas baseadas em IA, estes add-ons conseguiram roubar credenciais, e-mails e dados de navegação.
Extensões falsas de IA no Chrome
A investigação foi conduzida pela empresa de segurança LayerX , que denominou a operação de AiFrame. Segundo os especialistas, as 30 extensões analisadas fazem parte da mesma infraestrutura maliciosa, uma vez que todas comunicam com servidores sob o mesmo domínio.
Algumas destas extensões acumularam dezenas de milhares de downloads na loja oficial. A mais popular chamava-se Gemini AI Sidebar e atingiu os 80.000 utilizadores antes de ser removida. Outros exemplos incluem o AI Sidebar com 70.000 utilizadores, o AI Assistant com 60.000 e o ChatGPT Translate com 30.000 instalações, entre outros.
A equipa de investigação descobriu que todos eles tinham uma lógica JavaScript praticamente idêntica, as mesmas permissões e uma infraestrutura de backend comum. Em vez de executarem funções de IA localmente, estas extensões carregavam um iframe de ecrã inteiro a partir de um domínio remoto para simular a funcionalidade prometida.
Roubam dados a 300 mil utilizadores
Isto permitia que os operadores modificassem o comportamento sem terem de publicar atualizações, evitando assim processos de revisão adicionais. Em segundo plano, os plugins extraíam conteúdo das páginas visitadas, incluindo páginas de autenticação sensíveis. Um subconjunto de 15 extensões tinha como alvo específico o Gmail , executando scripts que eram despoletados quando o serviço de e-mail era carregado.
|ID
|Nome
|Instalaçõess
|nlhpidbjmmffhoogcennoiopekbiglbp
|
AI Assistant
|50.000
|gcfianbpjcfkafpiadmheejkokcmdkjl
|
Llama
|147
|fppbiomdkfbhgjjdmojlogeceejinadg
|80.000
|djhjckkfgancelbmgcamjimgphaphjdl
|9.000
|llojfncgbabajmdglnkbhmiebiinohek
|10.000
|gghdfkafnhfpaooiolhncejnlgglhkhe
|50.000
|cgmmcoandmabammnhfnjcakdeejbfimn
|
Grok
|261
|phiphcloddhmndjbdedgfbglhpkjcffh
|
Asking Chat Gpt
|396
|pgfibniplgcnccdnkhblpmmlfodijppg
|
ChatGBT
|1.000
|nkgbfengofophpmonladgaldioelckbe
|
Chat Bot GPT
|426
|gcdfailafdfjbailcdcbjmeginhncjkb
|
Grok Chatbot
|225
|ebmmjmakencgmgoijdfnbailknaaiffh
|
Chat With Gemini
|760
|baonbjckakcpgliaafcodddkoednpjgf
|
XAI
|138
|fdlagfnfaheppaigholhoojabfaapnhb
|
Google Gemini
|7.000
|gnaekhndaddbimfllbgmecjijbbfpabc
|
Ask Gemini
|1.000
|hgnjolbjpjmhepcbjgeeallnamkjnfgi
|AI Letter Generator
|129
|lodlcpnbppgipaimgbjgniokjcnpiiad
|AI Message Generator
|24
|cmpmhhjahlioglkleiofbjodhhiejhei
|AI Translator
|194
|bilfflcophfehljhpnklmcelkoiffapb
|AI For Translation
|91
|cicjlpmjmimeoempffghfglndokjihhn
|AI Cover Letter Generator
|27
|ckneindgfbjnbbiggcmnjeofelhflhaj
|AI Image Generator Chat GPT
|249
|dbclhjpifdfkofnmjfpheiondafpkoed
|Ai Wallpaper Generator
|289
|ecikmpoikkcelnakpgaeplcjoickgacj
|Ai Picture Generator
|813
|kepibgehhljlecgaeihhnmibnmikbnga
|DeepSeek Download
|275
|ckicoadchmmndbakbokhapncehanaeni
|AI Email Writer
|64
|fnjinbdmidgjkpmlihcginjipjaoapol
|Email Generator AI
|881
|gohgeedemmaohocbaccllpkabadoogpl
|DeepSeek Chat
|1.000
|flnecpdpbhdblkpnegekobahlijbmfok
|ChatGPT Picture Generator
|251
|acaeafediijmccnjlokgcdiojiljfpbe
|ChatGPT Translate
|30.000
|kblengdlefjpjkekanpoidgoghdngdgl
|AI GPT
|20.000
|idhknpoceajhnjokpnbicildeoligdgh
|ChatGPT Translation
|1.000
|fpmkabpaklbhbhegegapfkenkmpipick
|Chat GPT for Gmail
|1.000
Estes guiões liam diretamente o conteúdo visível das mensagens no DOM e podiam até capturar rascunhos. Quando o utilizador ativava funcionalidades como respostas ou resumos com o auxílio de IA, o texto do e-mail era enviado para servidores controlados pelos atacantes , fora do perímetro de segurança do Gmail.
Além disso, algumas extensões incorporaram reconhecimento de voz com a capacidade de transcrever áudio e enviá-lo remotamente. Os especialistas recomendam a revisão da lista de indicadores de comprometimento publicada pela LayerX e, em caso de suspeita, remover as extensões afetadas e redefinir as palavras-passe de todas as contas.