Pesquisadores descobriram mais uma família de extensões maliciosas na Chrome Store. Desta vez, 30 Chrome diferentes Chrome foram encontradas roubando credenciais de mais de 260.000 utilizadores.
As extensões apresentavam um iframe em ecrã inteiro apontando para um domínio remoto. Esse iframe sobrepunha a página da Web atual e aparecia visualmente como a interface da extensão. Como essa funcionalidade era hospedada remotamente, não foi incluída na revisão que permitiu que as extensões fossem adicionadas à Web Store.
Em outras descobertas recentes, relatámos sobre extensões que espionavam conversas no ChatGPT, extensões adormecidas que monitorizavam a atividade do navegador e uma extensão falsa que causava deliberadamente uma falha no navegador.
Para distribuir o risco de detecções e remoções, os atacantes utilizaram uma técnica conhecida como «extensão spraying». Isto significa que utilizaram nomes diferentes e identificadores únicos para basicamente a mesma extensão.
O que geralmente acontece é que os investigadores fornecem uma lista de nomes e IDs de extensões, e cabe aos utilizadores descobrir se têm alguma dessas extensões instaladas.
Pesquisar por nome é fácil quando abre o separador «Gerir extensões», mas infelizmente os nomes das extensões não são únicos. Pode, por exemplo, ter instalada a extensão legítima que um criminoso tentou falsificar.
Pesquisa por identificador único
Para Chrome Edge, um ID de extensão do navegador é uma sequência única de 32 caracteres em letras minúsculas que permanece a mesma mesmo que a extensão seja renomeada ou reenviada.
Quando analisamos as extensões do ponto de vista da remoção, existem dois tipos: aquelas instaladas pelo utilizador e aquelas instaladas à força por outros meios (administrador de rede, malware, Objeto de Política de Grupo (GPO), etc.).
Neste guia, abordaremos apenas o primeiro tipo — aqueles que os utilizadores instalaram por conta própria a partir da Web Store. O guia abaixo é voltado para Chrome, mas é praticamente o mesmo para Edge.
Como encontrar extensões instaladas
Pode rever as Chrome instaladas desta forma:
- Na barra de endereço, digite
chrome://extensions/. - Isto abrirá o separador Extensões e mostrará as extensões instaladas por nome.
- Agora, ative o modo Desenvolvedor e você também verá o ID exclusivo deles.
Método de remoção no navegador
Use o botão Remover para eliminar quaisquer entradas indesejadas.
Se desaparecer e permanecer desaparecido após reiniciar, está tudo resolvido. Se não houver um botão Remover ou Chrome que foi «instalado pelo seu administrador», ou se a extensão reaparecer após reiniciar, existe uma política, entrada no registo ou malware a forçá-la.
Alternativa
Em alternativa, também pode pesquisar na pasta Extensions. Nos Windows , esta pasta encontra-se aqui: C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Observe que a pasta AppData está oculta por predefinição. Para exibir ficheiros e pastas ocultos no Windows, abra o Explorador, clique no separadorExibir(ou menu) e marque a caixaItens ocultos. Para opções mais avançadas, escolhaOpções > Alterar opções de pasta e pesquisa > separador Exibir e, em seguida, selecioneMostrar ficheiros, pastas e unidades ocultos.
Pode organizar a lista em ordem alfabética clicando uma ou duas vezes no cabeçalho da coluna Nome . Isso facilita encontrar extensões se tiver muitas delas instaladas.
Excluir a pasta da extensão aqui tem uma desvantagem. Isso deixa uma entrada órfã no seu navegador. Quando você iniciar Chrome após fazer isso, a extensão não será mais carregada porque os seus ficheiros foram excluídos. Mas ela ainda aparecerá na guia Extensões, só que sem o ícone apropriado.
Portanto, o nosso conselho é remover as extensões do navegador sempre que possível.
Extensões maliciosas
Abaixo está a lista de extensões que roubam credenciais usando o método iframe, fornecida pelos investigadores.
| ID da extensão | Nome da extensão |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | Traduzir ChatGPT |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | IA para tradução |
| cicjlpmjmimeoempffghfglndokjihhn | Gerador de cartas de apresentação com IA |
| ckicoadchmmndbakbokhapncehanaeni | Redator de e-mails com IA |
| ckneindgfbjnbbiggcmnjeofelhflhaj | Gerador de imagens com IA Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | Tradutor de IA |
| dbclhjpifdfkofnmjfpheiondafpkoed | Gerador de papéis de parede Ai |
| djhjckkfgancelbmgcamjimgphaphjdl | Barra lateral de IA |
| ebmmjmakencgmgoijdfnbailknaaiffh | Converse com Gemini |
| ecikmpoikkcelnakpgaeplcjoickgacj | Gerador de imagens Ai |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | Gerador de imagens ChatGPT |
| fnjinbdmidgjkpmlihcginjipjaoapol | Gerador de e-mails com IA |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT para Gmail |
| fppbiomdkfbhgjjdmojlogeceejinadg | Barra lateral da Gemini AI |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Lhama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Chatbot Grok |
| gghdfkafnhfpaooiolhncejnlgglhkhe | Barra lateral de IA |
| gnaekhndaddbimfllbgmecjijbbfpabc | Pergunte a Gêmeos |
| gohgeedemmaohocbaccllpkabadoogpl | Conversa no DeepSeek |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | Gerador de cartas com IA |
| idhknpoceajhnjokpnbicildeoligdgh | Tradução do ChatGPT |
| kblengdlefjpjkekanpoidgoghdngdgl | IA GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | Download do DeepSeek |
| lodlcpnbppgipaimgbjgniokjcnpiiad | Gerador de mensagens com IA |
| llojfncgbabajmdglnkbhmiebiinohek | Barra lateral do ChatGPT |
| nkgbfengofophpmonladgaldioelckbe | Chat Bot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | Assistente de IA |
| phiphcloddhmndjbdedgfbglhpkjcffh | Perguntando ao Chat Gpt |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
