Cloud security resource

Extensão maliciosa do perplexity no chrome espionou buscas e dados

Extensão maliciosa se passou pelo Perplexity e espionou buscas no Chrome

Uma operação de espionagem digital conseguiu infiltrar-se na própria loja oficial de extensões do Google Chrome, explorando a confiança dos usuários na plataforma. Criminosos criaram uma extensão fraudulenta que imitava a identidade visual e o nome do Perplexity, ferramenta de pesquisa baseada em inteligência artificial, para transformar o navegador em um dispositivo de monitoramento constante das atividades online.

A extensão funcionava, na prática, como um spyware totalmente camuflado. Depois de instalada, passava a registrar de forma silenciosa tudo o que o usuário pesquisava: termos inseridos em mecanismos de busca, histórico de navegação, padrões de uso e diversos metadados associados às sessões de navegação. Todo esse conteúdo era então consolidado e enviado para servidores de Comando e Controlo (C2) administrados pelos atacantes.

Para burlar os mecanismos automáticos de triagem da Chrome Web Store e convencer as vítimas, os criminosos reproduziram com precisão a marca do Perplexity. O pacote usava logotipo idêntico, descrições cuidadosamente redigidas, capturas de tela manipuladas como se fossem da solução oficial e termos de SEO voltados à plataforma legítima. O objetivo era simples: aparecer bem posicionado nas buscas da loja e transmitir a falsa sensação de autenticidade.

Uma vez adicionada ao navegador, a falsa extensão solicitava um conjunto amplo de permissões – algo que muitos usuários, acostumados a aprovar rapidamente pop-ups, acabam autorizando sem muita atenção. Entre as permissões estavam a leitura e modificação de dados em todos os sites visitados, acesso às abas abertas e capacidade de atuar em segundo plano. Com esse nível de privilégio, o código malicioso conseguia instalar rotinas de escuta que acompanhavam, em tempo real, tudo o que era digitado nas barras de endereço, em campos de busca tradicionais e até nas caixas de interação com assistentes de IA.

Esse tipo de monitoramento massivo afeta diretamente a privacidade do usuário comum, mas o risco aumenta exponencialmente em ambientes corporativos. Em empresas de todos os portes, profissionais têm recorrido cada vez mais a ferramentas de IA para acelerar tarefas: elaboração de relatórios, revisão de contratos, geração de código, análise de dados financeiros e preparação de apresentações estratégicas. Para isso, costumam colar trechos de documentos confidenciais, scripts proprietários, números sensíveis e informações pessoais em campos de texto desses serviços.

Como a extensão maliciosa coletava indiscriminadamente o tráfego web, qualquer dado inserido nesses contextos passava a fazer parte de um grande repositório de inteligência sob controle dos criminosos. Uma vez acumulado, esse volume de informações pode ser processado com ferramentas automatizadas de análise de texto, permitindo que o grupo identifique credenciais de login expostas por engano, chaves de API embutidas em trechos de código, detalhes de infraestrutura tecnológica e até segredos comerciais estratégicos.

Esses elementos são matéria-prima valiosa para ataques posteriores. A partir das informações extraídas, os invasores podem: montar campanhas de extorsão direcionada, com base em dados comprometedores; realizar ataques de engenharia social altamente personalizados; tentar acessos não autorizados a sistemas internos; ou mesmo vender o conjunto de dados no submundo digital para outros grupos especializados em fraude, ransomware ou espionagem industrial.

Após a descoberta da campanha, pesquisadores de segurança notificaram o Google sobre o comportamento suspeito da extensão. A empresa removeu o item da Chrome Web Store e acionou seus mecanismos de proteção para desativá-lo remotamente nos navegadores em que já havia sido instalado. Apesar dessa ação mitigar a continuidade da ameaça, ela não tem efeito retroativo: todos os dados já capturados e exfiltrados permanecem em poder dos atacantes, fora do alcance das vítimas e dos provedores de tecnologia.

Esse incidente expõe, mais uma vez, as limitações dos processos automatizados de revisão de extensões em lojas oficiais. Embora essas plataformas adotem filtros, varreduras automáticas e políticas de segurança, criminosos sofisticados exploram lacunas de validação, técnicas avançadas de camuflagem e o uso de marcas legítimas para driblar os mecanismos de detecção. O resultado é um falso senso de segurança: muitos usuários acreditam que, por estar na loja oficial, qualquer extensão é automaticamente confiável.

Do ponto de vista de governança de TI, o caso reforça a necessidade de controles mais rígidos sobre o uso de extensões em ambientes corporativos. Empresas que permitem a instalação livre de complementos no navegador acabam ampliando a superfície de ataque sem perceber. Boas práticas incluem: políticas claras que definem quais extensões são permitidas; listas brancas (whitelists) aprovadas por times de segurança; revisão periódica das extensões instaladas; e bloqueio, via políticas de grupo, de qualquer componente não autorizado.

Outro ponto crítico é a conscientização de usuários sobre o uso de IA no dia a dia profissional. Embora ferramentas baseadas em inteligência artificial tragam ganhos significativos de produtividade, é essencial orientar colaboradores a nunca inserir dados altamente sensíveis – como segredos de produto, números de cartões, credenciais de acesso ou informações de clientes protegidas por lei – em serviços cuja política de privacidade não seja claramente entendida e aprovada pela organização. Em paralelo, as áreas jurídicas e de compliance precisam criar diretrizes específicas para o uso responsável de IA generativa.

Para usuários domésticos, algumas medidas simples ajudam a minimizar o risco de cair em golpes semelhantes. Antes de instalar qualquer extensão, é importante: verificar o nome exato do desenvolvedor; ler avaliações com olhar crítico, desconfiando de reviews genéricos demais; checar o número de instalações e o histórico de atualizações; analisar cuidadosamente as permissões solicitadas; e se perguntar se faz sentido um complemento pedir acesso a “todos os dados de todos os sites” para cumprir sua função declarada.

Equipes de segurança da informação, por sua vez, podem adotar ferramentas de monitoramento capazes de inspecionar tráfego de saída em busca de padrões anômalos associados a servidores de Comando e Controlo. Soluções de proteção de endpoint, análise comportamental e proxies corporativos com inspeção HTTPS ajudam a identificar exfiltração de dados em segundo plano, inclusive quando o atacante utiliza extensões aparentemente legítimas como vetor.

Esse caso também ilustra uma tendência preocupante: a convergência entre o boom de assistentes de IA e a criatividade dos cibercriminosos. À medida que plataformas como Perplexity, chatbots e copilotos de código se tornam parte central da rotina de trabalho, aumentam os incentivos para que criminosos criem extensões falsas, clones de aplicativos e integrações fraudulentas com o objetivo de capturar precisamente os dados mais sensíveis que transitam nesses sistemas.

Em resposta a esse cenário, organizações mais maduras em segurança já começam a tratar o ecossistema de extensões como parte estratégica de sua gestão de riscos. Auditorias frequentes em navegadores corporativos, revisão de políticas de instalação, segmentação de redes e adoção de perfis de acesso diferenciados para funções críticas ajudam a reduzir o impacto de incidentes dessa natureza. Em alguns setores regulados, como financeiro e saúde, restringir severamente o uso de extensões passa a ser uma exigência prática de conformidade.

Por fim, é importante entender que a remoção de uma extensão fraudulenta da loja oficial não encerra o problema. Os dados capturados podem alimentar campanhas maliciosas meses depois do fim da operação original. Isso torna fundamental que empresas potencialmente afetadas realizem uma análise retroativa: identificar quem instalou o complemento, quais sistemas foram acessados a partir dessas máquinas e se há indícios de uso indevido de contas, APIs ou informações vazadas.

O episódio da extensão falsa do Perplexity serve, portanto, como alerta de que a confiança cega em marcas conhecidas e em lojas oficiais já não é suficiente. Navegadores, que historicamente eram vistos apenas como ferramentas de acesso, tornaram-se pontos sensíveis na cadeia de segurança. Tratar extensões como software de risco, aplicar governança robusta e educar usuários sobre o uso seguro de IA deixou de ser opcional e passou a ser parte essencial da defesa contra a nova geração de ataques digitais.