Extensões falsas do Chrome: o que conseguem fazer e como identificar
Resposta rápida
Uma extensão maliciosa instalada no Google Chrome pode ler tudo o que você digita, incluindo senhas e dados bancários, capturar cookies de sessão para invadir contas sem precisar da sua senha e injetar anúncios ou redirecionar buscas sem que você perceba. O problema vai além do uso pessoal: num computador corporativo, a mesma extensão vaza e-mails internos, credenciais de sistemas da empresa e documentos confidenciais para criminosos. Identificar extensões perigosas exige verificar o desenvolvedor, analisar as permissões solicitadas e auditar regularmente a lista em chrome://extensions.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Se você cuida da segurança do seu negócio, comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›[object Object]
- ›[object Object]
- ›[object Object]
- ›[object Object]
- ›[object Object]
- ›[object Object]
Passo a passo — o que fazer
- 1
Abra o gerenciador de extensões
Digite chrome://extensions na barra de endereço e pressione Enter. Você verá todas as extensões instaladas, ativas ou não. Examine cada uma com atenção antes de continuar.
- 2
Remova extensões desconhecidas ou que você não instalou
Clique em 'Remover' para qualquer extensão que você não reconhece, não usa há mais de 30 dias ou que não sabe de onde veio. Em caso de dúvida, remova e reinstale só o que for necessário de fontes verificadas.
- 3
Revise as permissões das extensões que você vai manter
Clique em 'Detalhes' de cada extensão e leia as permissões listadas. Extensões com acesso a 'todos os sites' ou que pedem permissão para 'ler e alterar todos os seus dados em todos os sites' sem justificativa clara devem ser removidas.
- 4
Verifique o desenvolvedor de cada extensão
Na Chrome Web Store (chromewebstore.google.com), pesquise o nome exato da extensão. Confirme que o desenvolvedor listado corresponde a uma empresa ou pessoa conhecida. Extensões legítimas de grandes empresas costumam ter o site oficial vinculado.
- 5
Troque as senhas de contas sensíveis
Se você removeu uma extensão suspeita, assuma que suas senhas podem ter sido capturadas. Troque imediatamente as senhas de e-mail, banco, redes sociais e qualquer sistema corporativo que você acessa nesse navegador.
- 6
Encerre e reinicie todas as sessões ativas
Faça logout em todos os sites importantes (Google, redes sociais, sistemas da empresa) e entre novamente. Isso invalida os cookies de sessão que possam ter sido copiados pela extensão maliciosa.
- 7
Ative a autenticação em dois fatores (2FA)
Mesmo que uma senha tenha sido roubada, o 2FA impede o acesso se o atacante não tiver o segundo fator. Ative em todas as contas que oferecem esse recurso, priorizando e-mail e contas bancárias.
- 8
Monitore acessos suspeitos nas próximas semanas
Verifique o histórico de login de suas contas principais (Google, bancos, e-mail corporativo) nos dias seguintes. Qualquer acesso de local, horário ou dispositivo incomum deve ser investigado imediatamente.
O que NÃO fazer
- ✕[object Object]
- ✕[object Object]
- ✕[object Object]
- ✕[object Object]
- ✕[object Object]
O que extensões maliciosas conseguem fazer tecnicamente
O modelo de permissões das extensões do Chrome permite que elas interajam com o conteúdo de páginas da web de formas muito profundas. Uma extensão com acesso total às páginas — descrita pelo Chrome como 'ler e alterar todos os seus dados em todos os sites' — pode capturar qualquer texto que você digita antes de enviá-lo ao servidor, incluindo senhas, números de cartão de crédito e mensagens.
Além de capturar o que você digita, extensões maliciosas podem acessar os cookies armazenados no navegador. Os cookies de sessão são tokens que os sites usam para identificar que você já fez login. Ao roubá-los, um atacante pode acessar sua conta sem nunca precisar da sua senha — e, em muitos casos, sem que o 2FA seja solicitado, porque a sessão já estava autenticada.
Outras capacidades documentadas incluem: injeção de anúncios em páginas que normalmente não os exibem, redirecionamento de buscas para motores de busca controlados pelo atacante, monitoramento do histórico de navegação, uso da CPU do computador para mineração de criptomoedas sem consentimento, e modificação de páginas bancárias para redirecionar transferências. O CERT.br registra casos de extensões que modificam dados de boletos bancários exibidos no navegador, trocando o código de barras por um controlado pelos criminosos.
Como extensões maliciosas chegam ao Chrome Web Store
A Google realiza revisões automáticas e manuais antes de publicar extensões na Chrome Web Store, mas o volume de submissões é enorme e criminosos desenvolveram técnicas para burlar as verificações. Uma delas é publicar uma extensão inofensiva, acumular usuários e, depois de semanas ou meses, enviar uma atualização maliciosa — que é distribuída automaticamente para todos os usuários sem uma nova revisão de permissões.
Outra técnica comum é o 'typosquatting': criar extensões com nomes muito parecidos com ferramentas populares, esperando que usuários errem ao digitar ou não prestem atenção ao nome exato. Uma extensão chamada 'AdBlock Pro Ultimate' pode parecer legítima à primeira vista mas ser completamente diferente do AdBlock oficial.
Pesquisadores de segurança da OWASP e de empresas especializadas documentaram também o uso de redes de afiliados que pagam comissões para quem instalar determinadas extensões, gerando campanhas de desinformação e anúncios enganosos que incentivam a instalação de ferramentas maliciosas disfarçadas de utilitários gratuitos.
Proteja também a sua empresa
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraComo fazer uma auditoria completa das suas extensões agora
O primeiro passo é acessar chrome://extensions no navegador. Essa página lista todas as extensões instaladas, incluindo as desativadas. Para cada uma, clique em 'Detalhes' e leia cuidadosamente as permissões listadas. O Chrome traduz as permissões técnicas para linguagem acessível: 'Ler e alterar todos os seus dados em todos os sites' é a permissão mais ampla possível e deve justificar uma análise rigorosa.
Anote o nome de cada extensão e busque-a na Chrome Web Store (chromewebstore.google.com). Verifique: o desenvolvedor listado é quem você esperaria? A extensão ainda existe na loja? As avaliações parecem legítimas? A data da última atualização coincide com quando o comportamento do navegador mudou? Qualquer resposta suspeita é razão suficiente para remover a extensão.
Depois de auditar, considere ativar o modo de navegação aprimorada do Chrome em Configurações > Privacidade e segurança > Segurança, que oferece proteções adicionais contra extensões e sites maliciosos. Para ambientes corporativos, a política recomendada é usar Chrome Enterprise com lista de extensões permitidas gerenciada centralmente pela equipe de TI ou segurança.
O risco corporativo: quando a extensão pessoal vira ameaça à empresa
Quando um colaborador instala uma extensão maliciosa no computador do trabalho — ou mesmo no computador pessoal que usa para acessar sistemas corporativos — o impacto deixa de ser individual. A extensão passa a ter acesso a e-mails corporativos, documentos internos, sistemas de ERP, painéis de CRM, plataformas de nuvem e qualquer outra ferramenta acessada pelo navegador.
Em cenários documentados de incidentes reais, extensões maliciosas foram o vetor inicial de ataques que resultaram em comprometimento de contas de e-mail corporativo (BEC — Business Email Compromise), exfiltração de bases de clientes e credenciais de acesso a sistemas críticos. Um único colaborador com uma extensão comprometida pode ser o ponto de entrada para um ataque de ransomware ou espionagem industrial.
A superfície de risco é ampliada pelo trabalho remoto e pelo uso de dispositivos pessoais (BYOD). Sem uma política de extensões gerenciada e sem monitoramento do endpoint, a empresa não tem visibilidade sobre o que está instalado nos navegadores que acessam seus sistemas. Isso não é um problema técnico abstrato — é um vetor concreto com histórico documentado de incidentes em empresas brasileiras.
O que fazer depois de remover uma extensão suspeita
A remoção da extensão encerra a coleta de dados a partir daquele momento, mas não desfaz o que já foi capturado. Por isso, após remover qualquer extensão suspeita, o protocolo mínimo é: trocar as senhas de todas as contas acessadas naquele navegador, começando por e-mail e bancos; encerrar todas as sessões ativas (logout em todos os dispositivos) nos serviços mais críticos; e ativar ou revisar o 2FA em contas que ainda não têm essa proteção.
Se a extensão estava instalada em um computador corporativo, a remoção deve ser comunicada à equipe de TI ou segurança da empresa imediatamente. O time precisa avaliar se há evidências de exfiltração de dados, quais sistemas foram acessados pelo navegador afetado e se outros dispositivos na rede podem ter sido comprometidos por movimento lateral.
Para os próximos 30 dias, monitore extratos bancários e acesso às suas contas. O roubo de sessão pode ter ocorrido dias antes da detecção, e atividades fraudulentas podem aparecer com atraso. Guarde prints dos históricos de acesso das contas mais importantes como referência.
Termos importantes
- Cookie de sessão
- Token armazenado no navegador que identifica um usuário já autenticado em um site, permitindo que ele permaneça logado sem redigitar a senha a cada página. Quando roubado, permite que um atacante acesse a conta da vítima sem precisar das credenciais.
- Permissão 'ler e alterar todos os seus dados em todos os sites'
- A permissão mais ampla que uma extensão do Chrome pode solicitar, descrita assim pelo próprio navegador. Com ela, a extensão pode ler qualquer conteúdo exibido ou digitado em qualquer página da web, modificar o que você vê e capturar dados antes de serem enviados ao servidor.
- Typosquatting
- Técnica em que criminosos criam extensões, sites ou aplicativos com nomes muito parecidos com ferramentas legítimas populares, diferindo em um ou dois caracteres, para enganar usuários que erram ao digitar ou não prestam atenção ao nome exato.
- BEC (Business Email Compromise)
- Tipo de ataque em que criminosos obtêm acesso a contas de e-mail corporativas para fraudar transações financeiras, solicitar transferências não autorizadas ou roubar informações confidenciais. Extensões maliciosas são um vetor documentado de acesso inicial em ataques BEC.
Perguntas frequentes
Uma extensão pode roubar minha senha mesmo que eu use um gerenciador de senhas?
Depende. Se o gerenciador de senhas é uma extensão do Chrome, uma extensão maliciosa com permissões suficientes pode interceptar as senhas no momento em que são preenchidas nos campos de login, antes de chegarem ao servidor. Se você usa um gerenciador offline ou um aplicativo separado do navegador, o risco é menor — mas a extensão ainda pode capturar o que você digita após o preenchimento automático.
O Chrome me avisa quando instalo uma extensão perigosa?
O Chrome exibe as permissões solicitadas antes da instalação e bloqueia extensões conhecidas como maliciosas. No entanto, ele não avalia em tempo real se uma extensão que já está instalada passou a se comportar de forma maliciosa após uma atualização. A responsabilidade de revisar periodicamente as extensões instaladas é do usuário ou da equipe de segurança da empresa.
Como saber se uma extensão que eu tenho é confiável?
Verifique três coisas: o desenvolvedor (deve ser uma empresa ou pessoa reconhecível, com site próprio); as permissões (devem fazer sentido para a função da extensão); e a presença na Chrome Web Store com histórico consistente. Extensões de empresas conhecidas como Google, Microsoft ou fornecedores de segurança estabelecidos têm baixíssimo risco. Extensões de desenvolvedores anônimos com permissões amplas são as mais arriscadas.
Extensões desativadas ainda representam risco?
Extensões desativadas não executam código ativamente durante a navegação, mas ainda podem ser reativadas a qualquer momento e ainda recebem atualizações automáticas. Se você não usa uma extensão, o mais seguro é removê-la completamente em vez de apenas desativá-la.
Qual a diferença entre extensão maliciosa e extensão simplesmente ruim?
Uma extensão 'ruim' pode ser lenta, com bugs ou ineficaz na sua função declarada, mas não faz nada malicioso. Uma extensão maliciosa foi intencionalmente projetada para coletar dados sem consentimento, gerar receita às custas do usuário ou servir como vetor de ataque. A distinção prática: extensões ruins não roubam dados; extensões maliciosas existem justamente para isso.
Minha empresa pode controlar quais extensões os colaboradores instalam?
Sim. O Chrome Enterprise permite que administradores de TI definam políticas que bloqueiam a instalação de extensões não aprovadas, permitem apenas uma lista específica de extensões confiáveis e removem automaticamente extensões não autorizadas. Essa é a abordagem recomendada para qualquer empresa que use Chrome como navegador padrão em dispositivos corporativos.
A Decripte pode ajudar se eu suspeitar que temos uma extensão maliciosa na empresa?
Sim. A Decripte atende empresas de todos os portes — de 1 até mais de 100 mil colaboradores — com serviços de resposta a incidentes, investigação forense e gestão de segurança. Se você suspeita de comprometimento por extensão maliciosa ou qualquer outro vetor, pode começar com o plano gratuito de Gestão de Ameaças para ter uma visão inicial do risco da sua empresa, ou acionar diretamente um plano de resposta a incidentes em decripte.io.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.