Pesquisadores descobriram mais uma família de extensões maliciosas na Chrome Store. Desta vez, foram encontradas 30 Chrome diferentes Chrome roubando credenciais de mais de 260.000 usuários.
As extensões exibiam um iframe em tela cheia apontando para um domínio remoto. Esse iframe sobrepunha a página da web atual e aparecia visualmente como a interface da extensão. Como essa funcionalidade era hospedada remotamente, ela não foi incluída na revisão que permitiu que as extensões fossem adicionadas à Web Store.
Em outras descobertas recentes, relatamos sobre extensões que espionavam bate-papos do ChatGPT, extensões ocultas que monitoravam a atividade do navegador e uma extensão falsa que causava deliberadamente uma falha no navegador.
Para distribuir o risco de detecções e remoções, os invasores utilizaram uma técnica conhecida como “extensão spraying”. Isso significa que eles utilizaram nomes diferentes e identificadores exclusivos para basicamente a mesma extensão.
O que geralmente ocorre é que os pesquisadores fornecem uma lista de nomes e IDs de extensões, e cabe aos usuários descobrir se possuem alguma dessas extensões instaladas.
Pesquisar por nome é fácil quando você abre a guia “Gerenciar extensões”, mas, infelizmente, os nomes das extensões não são exclusivos. Você pode, por exemplo, ter instalado a extensão legítima que um criminoso tentou falsificar.
Pesquisar por identificador único
Para Chrome Edge, um ID de extensão do navegador é uma sequência única de 32 caracteres em letras minúsculas que permanece a mesma mesmo que a extensão seja renomeada ou reenviada.
Quando analisamos as extensões do ponto de vista da remoção, existem dois tipos: aquelas instaladas pelo usuário e aquelas instaladas à força por outros meios (administrador de rede, malware, Objeto de Política de Grupo (GPO), etc.).
Neste guia, abordaremos apenas o primeiro tipo — aqueles que os usuários instalaram por conta própria a partir da Loja Virtual. O guia abaixo é voltado para Chrome, mas é praticamente o mesmo para Edge.
Como encontrar extensões instaladas
Você pode revisar as Chrome instaladas desta forma:
- Na barra de endereço, digite
chrome://extensions/. - Isso abrirá a guia Extensões e mostrará as extensões instaladas por nome.
- Agora, ative o modo Desenvolvedor e você também verá o ID exclusivo deles.
Método de remoção no navegador
Use o botão Remover para eliminar quaisquer entradas indesejadas.
Se ele desaparecer e permanecer desaparecido após a reinicialização, está tudo pronto. Se não houver um botão Remover ou Chrome ele foi “instalado pelo administrador” ou se a extensão reaparecer após a reinicialização, há uma política, entrada de registro ou malware forçando-o.
Alternativa
Como alternativa, você também pode pesquisar na pasta Extensões. Nos Windows , essa pasta está localizada aqui: C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Observe que a pasta AppData fica oculta por padrão. Para exibir arquivos e pastas ocultos no Windows, abra o Explorer, clique na guiaExibir(ou menu) e marque a caixaItens ocultos. Para opções mais avançadas, escolhaOpções > Alterar opções de pasta e pesquisa > guia Exibir e selecioneMostrar arquivos, pastas e unidades ocultos.
Você pode organizar a lista em ordem alfabética clicando uma ou duas vezes no cabeçalho da coluna Nome . Isso facilita a localização de extensões, caso você tenha muitas delas instaladas.
Excluir a pasta de extensões aqui tem uma desvantagem. Isso deixa uma entrada órfã no seu navegador. Quando você Chrome após fazer isso, a extensão não será mais carregada porque seus arquivos foram excluídos. Mas ela ainda aparecerá na guia Extensões, só que sem o ícone apropriado.
Portanto, nosso conselho é remover as extensões do navegador sempre que possível.
Extensões maliciosas
Abaixo está a lista de extensões que roubam credenciais usando o método iframe, fornecida pelos pesquisadores.
| ID da extensão | Nome da extensão |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | Traduzir ChatGPT |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | IA para tradução |
| cicjlpmjmimeoempffghfglndokjihhn | Gerador de cartas de apresentação com IA |
| ckicoadchmmndbakbokhapncehanaeni | Redator de e-mails com IA |
| ckneindgfbjnbbiggcmnjeofelhflhaj | Gerador de imagens com IA Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | Tradutor de IA |
| dbclhjpifdfkofnmjfpheiondafpkoed | Gerador de papéis de parede Ai |
| djhjckkfgancelbmgcamjimgphaphjdl | Barra lateral de IA |
| ebmmjmakencgmgoijdfnbailknaaiffh | Converse com a Gemini |
| ecikmpoikkcelnakpgaeplcjoickgacj | Gerador de imagens Ai |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | Gerador de imagens ChatGPT |
| fnjinbdmidgjkpmlihcginjipjaoapol | Gerador de e-mails com IA |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT para Gmail |
| fppbiomdkfbhgjjdmojlogeceejinadg | Barra lateral da Gemini AI |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Lhama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Chatbot Grok |
| gghdfkafnhfpaooiolhncejnlgglhkhe | Barra lateral de IA |
| gnaekhndaddbimfllbgmecjijbbfpabc | Pergunte a Gêmeos |
| gohgeedemmaohocbaccllpkabadoogpl | Bate-papo DeepSeek |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | Gerador de cartas com IA |
| idhknpoceajhnjokpnbicildeoligdgh | Tradução do ChatGPT |
| kblengdlefjpjkekanpoidgoghdngdgl | IA GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | Download do DeepSeek |
| lodlcpnbppgipaimgbjgniokjcnpiiad | Gerador de mensagens com IA |
| llojfncgbabajmdglnkbhmiebiinohek | Barra lateral do ChatGPT |
| nkgbfengofophpmonladgaldioelckbe | Chat Bot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | Assistente de IA |
| phiphcloddhmndjbdedgfbglhpkjcffh | Perguntando ao Chat Gpt |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
