108 extensões maliciosas no Chrome roubam sessões do Telegram e identidades Google

Pesquisadores da empresa de segurança Socket identificaram 108 extensões maliciosas na Chrome Web Store que, juntas, somam mais de 20 mil instalações. Disfarçadas como jogos, ferramentas de produtividade e clientes de mensagens, essas extensões operam em segundo plano para roubar tokens de autenticação do Telegram e identidades do Google via OAuth2.

A campanha é controlada por uma infraestrutura unificada que envia dados sensíveis para servidores remotos a cada 15 segundos. A ameaça mais crítica, denominada Telegram Multi-account, consegue extrair o token de sessão ativa diretamente do navegador, permitindo que criminosos assumam o controle da conta da vítima sem a necessidade de senhas ou autenticação em dois fatores.

Evidências técnicas, como comentários em russo no código e o compartilhamento de projetos no Google Cloud, sugerem que a operação é coordenada por um único grupo. Especialistas recomendam que usuários que utilizaram essas ferramentas encerrem sessões ativas do Telegram pelo aplicativo móvel e revoguem permissões de terceiros em suas contas Google. Embora o Google tenha sido notificado, muitas dessas extensões ainda constavam como disponíveis no momento da denúncia.