A empresa de segurança de aplicações **Socket** identificou mais de 100 extensões maliciosas operando ativamente dentro da **Chrome Web Store** oficial. Essas extensões foram projetadas para roubar tokens Bearer do **Google** OAuth2, estabelecer backdoors e perpetrar fraudes de anúncios. Os pesquisadores determinaram que essas extensões fazem parte de uma campanha coordenada, todas se comunicando com a mesma infraestrutura de comando e controle (C2). Os atores de ameaça distribuíram essas extensões sob cinco identidades de publicador diferentes, abrangendo categorias como clientes de barra lateral do Telegram, jogos de caça-níqueis e Keno, aprimoradores do YouTube e TikTok, uma ferramenta de tradução de texto e utilitários gerais. De acordo com o relatório, a campanha utiliza um backend central hospedado em um VPS da Contabo. Este backend é dividido em múltiplos subdomínios responsáveis pelo sequestro de sessão, coleta de identidade, execução de comandos e monetização. A análise da **Socket** sugere o envolvimento de uma operação russa de malware-as-a-service (MaaS), com base em comentários encontrados no código relacionados à autenticação e roubo de sessão.  ### Coleta de Dados e Sequestro de Contas O maior cluster de extensões maliciosas, totalizando 78, injeta HTML controlado pelo atacante na interface do usuário usando a propriedade ‘innerHTML’. Isso permite que os atacantes manipulem o conteúdo exibido ao usuário. O segundo maior grupo, composto por 54 extensões, utiliza ‘chrome.identity.getAuthToken’ para coletar dados sensíveis do usuário, incluindo endereços de e-mail, nomes, fotos de perfil e IDs de contas do **Google**. Essas extensões também visam o token Bearer do **Google** OAuth2, uma credencial de curta duração que concede aos aplicativos acesso aos dados de um usuário ou a capacidade de agir em seu nome. Comprometer este token permite que os atacantes se passem pelo usuário.  Um terceiro grupo de 45 extensões inclui uma função oculta que é executada na inicialização do navegador. Esta função atua como um backdoor, buscando comandos do servidor C2 e sendo capaz de abrir URLs arbitrárias sem exigir qualquer interação do usuário. Uma extensão particularmente preocupante destacada pela **Socket** rouba sessões do **Telegram** Web a cada 15 segundos. Ela extrai dados de sessão do ‘localStorage’ e o token de sessão para o **Telegram** Web, transmitindo essas informações para o C2. “A extensão também lida com uma mensagem de entrada (set_session_changed) que executa a operação inversa: ela limpa o localStorage da vítima, o sobrescreve com dados de sessão fornecidos pelo ator de ameaça e força o recarregamento do Telegram”, explica a **Socket**. “Isso permite que o operador troque o navegador de qualquer vítima para uma conta diferente do **Telegram** sem o conhecimento da vítima.” Os pesquisadores também identificaram três extensões projetadas para remover cabeçalhos de segurança e injetar anúncios no **YouTube** e **TikTok**, uma extensão que faz proxy de requisições de tradução através de um servidor malicioso e uma extensão inativa de roubo de sessão do **Telegram** utilizando infraestrutura escalonada. A **Socket** relatou a campanha ao **Google**, mas no momento da publicação do relatório, todas as extensões maliciosas permaneceram disponíveis na **Chrome Web Store**. O BleepingComputer confirmou que muitas das extensões listadas no relatório da **Socket** ainda estão ativas. Eles entraram em contato com o **Google** para obter comentários, mas ainda não receberam resposta. Os usuários são fortemente aconselhados a verificar suas extensões instaladas em relação aos IDs publicados pela **Socket** e desinstalar imediatamente quaisquer correspondências.