Security researchers at Microsoft identificaram uma campanha envolvendo extensões maliciosas de navegador disfarçadas de assistentes de inteligência artificial para Google Chrome o Microsoft Edge que secretamente coletam conversas de usuários e atividades de navegação. De acordo com as descobertas, as extensões foram instaladas por quase 900.000 usuários.
As extensões foram distribuídas pela Chrome Web Store e se apresentaram como ferramentas legítimas de produtividade projetadas para aprimorar a navegação com recursos de IA. Na prática, o software funcionava como spyware que coletava informações sensíveis de usuários interagindo com serviços de IA online. Pesquisadores disseram que as ferramentas coletavam conversas de plataformas como ChatGPT e DeepSeek, além de dados de navegação do navegador infectado.
A campanha baseou-se em branding convincente e descrições que imitavam extensões legítimas de IA. Como os complementos pareciam semelhantes a ferramentas de produtividade amplamente usadas, os usuários os instalavam por meio de mercados normais de extensões de navegador sem perceber que eram maliciosos. Pesquisadores também observaram casos em que agentes automáticos de navegador baixaram as extensões automaticamente porque as listagens pareciam confiáveis.
Uma vez instaladas, as extensões se comportavam como complementos padrão de navegador. Eles solicitaram permissões que permitissem ler conteúdos em sites e monitorar a atividade dos usuários. Especialistas em segurança dizem que essas permissões são comuns para extensões de navegador, o que dificulta a detecção de versões maliciosas durante a instalação.
O spyware coletava dados localmente no dispositivo infectado antes de transferi-los para a infraestrutura controlada pelos atacantes. De acordo com a análise, as informações eram periodicamente transmitidas para servidores remotos, permitindo que os operadores mantivessem visibilidade contínua sobre a atividade de navegação e as interações com serviços de IA.
Pesquisadores disseram que as extensões estavam ativas em mais de 20.000 ambientes empresariais, indicando que a campanha pode ter exposto informações corporativas, bem como dados pessoais. Conversas com sistemas de IA frequentemente contêm material sensível, como código proprietário, discussões internas de negócios ou informações pessoais. O acesso a esses dados poderia permitir que atacantes realizassem espionagem corporativa, roubo de identidade ou campanhas de phishing direcionadas.
Extensões de navegador representam uma preocupação crescente de segurança porque são amplamente confiáveis e fáceis de instalar. Uma vez adicionados ao navegador, eles podem obter amplo acesso ao conteúdo da página e à atividade dos usuários. Pesquisadores de segurança observam que esse nível de acesso cria uma potencial superfície de ataque se extensões forem comprometidas ou intencionalmente projetadas para coletar dados.
A descoberta destaca os riscos de instalar complementos de navegador que pretendem aprimorar ferramentas de IA ou integrar chatbots à navegação na web. Especialistas em segurança recomendam que as organizações monitorem o uso de extensões em ambientes corporativos e resserram as instalações a desenvolvedores confiáveis. Eles também aconselham os usuários a revisarem regularmente as extensões instaladas e a remover quaisquer ferramentas que sejam desconhecidas ou desnecessárias.
A campanha demonstra como atores maliciosos podem usar canais de distribuição legítimos e marcas conhecidas para espalhar spyware. Ao incorporar funções de coleta de dados em ferramentas de IA aparentemente úteis, os atacantes podem coletar informações de um grande número de usuários sem explorar vulnerabilidades tradicionais de software.