Pesquisadores de cibersegurança descobriram uma nova campanha onde um cluster de 108 extensões do **Google Chrome** se comunica com a mesma infraestrutura de comando e controle (C2). O objetivo das extensões é coletar dados do usuário e permitir abusos no nível do navegador, injetando anúncios e código JavaScript arbitrário em páginas da web visitadas. De acordo com a **Socket**, as extensões (lista completa [aqui](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2#:~:text=Chrome%20Extension%20IDs)) são publicadas sob cinco identidades de editor distintas – **Yana Project**, **GameGen**, **SideGames**, **Rodeo Games** e **InterAlt**. Coletivamente, elas acumularam cerca de 20.000 instalações na **Chrome Web Store**. "Todas as 108 roteiam credenciais roubadas, identidades de usuário e dados de navegação para servidores controlados pelo mesmo operador", disse o pesquisador de segurança **Kush Pandya** [nesta análise](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2). Destas, 54 add-ons roubam a identidade da conta **Google** via OAuth2, 45 extensões contêm um backdoor universal que abre URLs arbitrárias assim que o navegador é iniciado, e as restantes se envolvem em uma variedade de comportamentos maliciosos: * Exfiltram sessões do **Telegram Web** a cada 15 segundos * Removem cabeçalhos de segurança do **YouTube** e **TikTok** (ou seja, Content Security Policy, X-Frame-Options e CORS) e injetam sobreposições de jogos de azar e anúncios * Injetam scripts de conteúdo em todas as páginas que o usuário visita * Proxy para todas as solicitações de tradução através do servidor do ator de ameaça  ### Disfarçadas de Ferramentas Legítimas Para parecerem legítimas, as extensões identificadas se apresentam como clientes de barra lateral do **Telegram**, jogos de caça-níqueis e Keno, aprimoradores do **YouTube** e **TikTok**, ferramentas de tradução de texto e utilitários de página. A funcionalidade anunciada é diversa, visando atingir um público amplo, enquanto compartilham o mesmo backend. No entanto, o código malicioso executado em segundo plano captura informações de sessão, injeta scripts arbitrários e abre URLs de escolha do atacante.  ### Exemplos de Extensões Maliciosas Algumas das extensões identificadas incluem: * **Telegram Multi-account** (ID: obifanppcpchlehkjipahhphbcbjekfa): Extrai o token `user_auth` usado pelo **Telegram Web** e exfiltra os dados para um servidor remoto. Ele também pode sobrescrever o `localStorage` com dados de sessão fornecidos pelo ator de ameaça e forçar o carregamento do aplicativo de mensagens, substituindo efetivamente a sessão ativa do **Telegram** da vítima. * **Web Client for Telegram - Teleside** (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): Remove os cabeçalhos de segurança do **Telegram** e injeta scripts para roubar sessões do **Telegram**. * **Formula Rush Racing Game** (ID: akebbllmckjphjiojeioooidhnddnplj): Rouba a identidade da conta **Google** do usuário, incluindo e-mail, nome completo, URL da foto de perfil e identificador da conta **Google** quando a vítima clica no botão de login. "Cinco extensões usam a API `declarativeNetRequest` do **Chrome** para remover cabeçalhos de segurança de sites alvo antes que a página seja carregada", disse a **Socket**. "Todas as 108 extensões maliciosas compartilham o mesmo backend, hospedado em 144.126.135[.]238". ### Atribuição e Remediação A identidade dos atores por trás dessas extensões que violam as políticas é atualmente desconhecida. No entanto, a análise do código-fonte revelou comentários em russo em vários add-ons. Usuários que instalaram alguma dessas extensões são fortemente aconselhados a removê-las imediatamente e sair de todas as sessões do **Telegram Web** do aplicativo móvel **Telegram**.