Extensões maliciosas no Chrome roubam credenciais de usuários

Duas extensões chamadas Phantom Shuttle, disponíveis na Chrome Web Store, estão sendo usadas para interceptar tráfego de usuários e roubar dados sensíveis, segundo um relatório da empresa de segurança Socket.dev. Apesar da descoberta, ambas as extensões continuam ativas no marketplace oficial do Chrome, e, de acordo com os pesquisadores, vêm operando desde 2017.

O que são as extensões Phantom Shuttle

As extensões foram publicadas sob o mesmo nome de desenvolvedor e são promovidas como ferramentas para serviços de proxy e teste de velocidade de rede. Os produtos chegam a cobrar assinaturas que variam entre US$ 1,40 e US$ 13,60. O público-alvo principal parece ser composto por usuários da China, especialmente profissionais de comércio exterior que precisam testar conexões de diferentes localizações.

Como ocorre o roubo de dados

Os especialistas da Socket.dev identificaram que as extensões Phantom Shuttle redirecionam o tráfego da web dos usuários por meio de proxies controlados por criminosos. As credenciais dos proxies são embutidas diretamente no código-fonte da extensão e mascaradas com um sistema de codificação personalizado. O código malicioso é anexado à biblioteca jQuery, frequentemente usada por sites e aplicações web legítimas.

Enquanto mantém uma aparência legítima, o código intercepta requisições HTTP e manipula a configuração de proxy do navegador com um script automático. Em um modo oculto apelidado de “smarty”, o redirecionamento cobre mais de 170 domínios de alto valor — incluindo plataformas de desenvolvedores, painéis de nuvem, redes sociais e sites de conteúdo adulto.

Durante a comunicação com esses sites, a extensão atua como um homem-no-meio capaz de capturar informações inseridas em formulários (usuário, senha, detalhes de cartão, dados pessoais), interceptar cookies de sessão e extrair tokens de API de solicitações autenticadas.

Posição do Google e orientação para usuários

O Google foi contatado pela equipe da BleepingComputer, mas ainda não comentou oficialmente sobre por que as extensões ainda estão disponíveis na loja. Enquanto isso, os especialistas alertam os usuários a instalarem apenas extensões de desenvolvedores verificados, ler as avaliações de outros usuários e observar atentamente as permissões solicitadas durante a instalação.

Impacto e contexto mais amplo

Casos como o da Phantom Shuttle reforçam uma tendência preocupante: os ataques de cadeia de suprimentos digitais estão se tornando mais sofisticados e persistentes. O uso de proxies maliciosos dentro de extensões aparentemente úteis é uma técnica que mistura engenharia social e manipulação técnica de alto nível. Em um cenário onde a confiança nos marketplaces digitais é fundamental, esse tipo de incidente pode abalar a percepção de segurança dos usuários e desenvolvedores.

Além disso, os ataques direcionados à China mostram como criminosos digitais usam barreiras geográficas e políticas para explorarem ecossistemas de internet locais, aproveitando diferenças nas políticas de moderação e verificação de apps.

Como saber se você está infectado e o que fazer

• Acesse chrome://extensions e verifique se há extensões com nomes desconhecidos como “Phantom Shuttle”;
• Desinstale imediatamente qualquer extensão suspeita;
• Faça uma varredura completa com um antivírus confiável;
• Altere senhas de serviços utilizados recentemente;
• Ative a verificação em duas etapas (2FA) nos serviços online;
• Evite instalar add-ons pagos ou de fontes duvidosas;
• Reinstale o Chrome se a infecção persistir.

Considerações finais

O incidente das extensões Phantom Shuttle reforça a necessidade de atenção constante com segurança digital. Mesmo marketplaces oficiais podem conter ameaças persistentes. Boas práticas de cibersegurança, como auditoria frequente de permissões e uso de antivírus, continuam sendo uma linha de defesa essencial contra golpes sofisticados e furtos de dados em larga escala.