Um novo alerta de segurança revelou a existência de 32 extensões maliciosas do Chrome que se passam por assistentes de inteligência artificial para roubar informações pessoais dos utilizadores, conforme identificou a empresa de segurança de navegadores LayerX.
As extensões usam nomes populares ligados a ferramentas de IA, como ChatGPT, Gemini e Claude, para ganhar credibilidade. Entre elas estavam opções como “AI Assistant”, “ChatGPT”, “Google Gemini” e “Tradutor ChatGPT”, algumas com dezenas de milhares de downloads.
A campanha já afetou mais de 260 mil pessoas. As principais ferramentas maliciosas identificadas já foram removidas da loja do navegador, no entanto, o Bleeping Computer identificou que algumas extensões ainda continuam disponíveis na Chrome Web Store.
Importa lembrar que, no mês passado, a LayerX também identificou outras 17 extensões maliciosas presentes na Chrome Web Store que espionavam as atividades online dos utilizadores. Saiba mais no nosso artigo completo.
Como funciona o esquema
Segundo o relatório da LayerX, todas as extensões fazem parte de uma mesma operação coordenada. Apesar de terem nomes diferentes, partilham o mesmo código e ligam-se a uma infraestrutura central controlada por um servidor remoto.
O principal problema está na forma como funcionam: em vez de processarem recursos de IA localmente, elas carregam um iframe remoto em ecrã inteiro, o que permite que o operador altere o comportamento da extensão a qualquer momento — sem precisar de publicar uma atualização oficial na loja do Chrome.
Além disso, as extensões conseguem:
-
Extrair o conteúdo das páginas que o utilizador visita, incluindo páginas protegidas por login;
-
Ler mensagens do Gmail diretamente da interface do navegador;
-
Capturar textos de e-mails, incluindo rascunhos;
-
Ativar reconhecimento de voz e enviar transcrições para servidores externos;
-
Recolher dados de navegação e telemetria.
No caso do Gmail, 15 destas extensões possuíam scripts específicos que eram executados assim que o utilizador acedia a mail.google.com. Como explica a LayerX, o texto das mensagens pode ser enviado para servidores externos, fora do ambiente protegido da Google.
As 32 extensões de IA maliciosas identificadas
Confira a seguir a lista das 32 extensões maliciosas identificadas, seguido de sua identificação e número de instalações. A recomendação é que, se tiveres instalado alguma destas ferramentas no teu navegador, as desinstales imediatamente.
| Nome da Extensão | ID | Número de Instalações |
|---|---|---|
| AI Assistant | nlhpidbjnmffhoogcennoiopekbiglbp | 50 000 |
| Llama | gcfiambpjcfkafpiadmheejkokcmdkjl | 147 |
| Gemini AI Sidebar | fppbiomdkfbhgjjdmoljgoeceejinadg | 80 000 |
| AI Sidebar | djhjckkfgancelbmgcamjimghpahpjdl | 9 000 |
| ChatGPT Sidebar | llojfncgbabajmdglnkbhmiebiniiohek | 10 000 |
| AI Sidebar | gghdfkafnhfpaoolohncejlnkglhkhe | 50 000 |
| Grok | cgmmcoandmabammnhfnjcakdeejbfimn | 261 |
| Asking Chat Gpt | phiphcloddhmndjbddgfbglhpkjcffh | 396 |
| ChatGBT | pgfibniplgcnccdnkhblpmmlfodijppg | 1 000 |
| Chat Bot GPT | nkgbfengofophpmonladgaldioelckbe | 426 |
| Grok Chatbot | gcdfailafdfjbaillcdcbjmegjnhncjkb | 225 |
| Chat With Gemini | ebmmjmakencgmgoijdjfnbaillknaaffh | 760 |
| XAI | baonbjckakpcgliaafcodddkoednpjgf | 138 |
| Google Gemini | fdlagfnfaheppaigholhoojabfaapnhb | 7 000 |
| Ask Gemini | gnaekhnadddbimflbgmecjjjbbfpabc | 1 000 |
| AI Letter Generator | hgnjolbipjmhepcbjeeallnamkjnfgi | 129 |
| AI Message Generator | lodlcpnbpgpaimgbjgniokjcnpiiad | 24 |
| AI Translator | cmpmhhjahliogklleiofbjodhhiiejhei | 194 |
| AI For Translation | bilfflcophfehjjhpnklmcelkoiffapb | 91 |
| AI Cover Letter Generator | cicjlpmjmimeeoempffghfgldnokjihhn | 27 |
| AI Image Generator Chat GPT | ckneindgfbjnbbiggcmnjeofelhfhlhaj | 249 |
| Ai Wallpaper Generator | dbclhjipfdfkofnmjfpheiondafpkoed | 289 |
| Ai Picture Generator | ecikmpoikkcelnakpgaeplcjoickgacj | 813 |
| DeepSeek Download | kepibgehhljecgaeihhnmibnmikbnga | 275 |
| AI Email Writer | ckicoachdmmndbakbokhapncehanaeni | 64 |
| Email Generator AI | fnjnbdmidgjkpmlhcgijnjpjaoapol | 881 |
| DeepSeek Chat | gohgeedmmaohocbaccllpkabadoogpl | 1 000 |
| ChatGPT Picture Generator | flnecpdpbhbdlkpnegekobahijbmfok | 251 |
| ChatGPT Translate | acaeaefedijjmccnjlokgcdioljijpfbe | 30 000 |
| AI GPT | kblengdefjpjkekanpoidgoghgdngdl | 20 000 |
| ChatGPT Translation | idhknpoceajhnjokpnbicilideoligdgh | 1 000 |
| Chat GPT for Gmail | fpmkabpaklbhbhegegagpfkenkmpipick | 1 000 |
Porque é que isto é preocupante
O uso de componentes remotos permite que os operadores modifiquem a lógica da extensão silenciosamente. Isto significa que, mesmo após uma análise inicial na Chrome Web Store, o comportamento pode mudar depois da instalação.
A técnica usada é conhecida como “extension spraying” (disparo em massa de extensões): quando uma extensão é removida devido à sua reputação, outras com nomes diferentes continuam ativas ou são republicadas rapidamente.
Recomendações de segurança
Para reduzir riscos relacionados com este tipo de ameaça nos navegadores, deves ter em consideração estas recomendações:
-
Instalar extensões apenas quando realmente necessárias;
-
Dar preferência a extensões de empresas conhecidas, Microsoft, Google, Claude, etc;
-
Verificar avaliações, responsável pela ferramenta e permissões solicitadas;
-
Evitar extensões que pedem acesso total a todas as páginas visitadas;
-
Monitorizar atividades suspeitas no Gmail e em outras contas;
-
Utilizar um software antivírus de confiança e manter o navegador sempre atualizado.
As ferramentas de IA podem, sim, aumentar a produtividade e ser grandes facilitadoras no dia a dia; mas tem em atenção que nem tudo o que promete 'assistência inteligente' é realmente seguro, especialmente se esta solução não foi desenvolvida pela empresa responsável pelo modelo de IA mencionado.
