Extensões falsas de IA no Chrome atingem 300 mil usuários e roubam credenciais e e-mails

Uma campanha com 30 extensões maliciosas do Google Chrome (disfarçadas de “assistentes de IA”) já ultrapassou 300 mil instalações e foi flagrada coletando credenciais, conteúdo de e-mails e informações de navegação. A operação foi identificada pela LayerX e batizada de AiFrame.

Segundo os pesquisadores, as extensões compartilham estrutura e infraestrutura e entregam a “função de IA” renderizando um iframe em tela cheia que carrega conteúdo de um domínio remoto — o que permite aos operadores alterar a lógica sem passar por nova revisão na loja.

O que foi observado

• Coleta de conteúdo de páginas visitadas (incluindo páginas de autenticação) usando bibliotecas de leitura/extração de texto.
• Um subconjunto das extensões mira especificamente o Gmail, lendo o conteúdo visível das mensagens no DOM e extraindo textos de threads — inclusive rascunhos, dependendo do cenário.
• Envio de dados para infraestrutura controlada pelos operadores quando recursos como “resumo”/“resposta sugerida” são acionados.
• Mecanismo remoto de reconhecimento de voz/transcrição (via Web Speech API) em determinados casos, condicionado às permissões concedidas.

Como se proteger agora

• Revise as extensões instaladas no Chrome e remova qualquer item suspeito (especialmente “IA sidebar”, “AI assistant”, “Gemini”, “ChatGPT”, etc. com origem duvidosa).
• Verifique permissões excessivas (leitura/modificação de dados em sites, acesso ao conteúdo de páginas, acesso a e-mail, etc.).
• Se houver suspeita de comprometimento: troque senhas, habilite/force MFA e revise sessões ativas nas contas mais sensíveis.
• Em ambientes corporativos, considere bloquear/permitir extensões via políticas e fazer varredura/telemetria para identificar add-ons não aprovados.

Fonte: https://www.bleepingcomputer.com/news/security/fake-ai-chrome-extensions-with-300k-users-steal-credentials-emails/