Se és um dos milhares de utilizadores que recorreram a extensões do navegador para integrar inteligência artificial no dia a dia, é altura de verificar o que instalaste. Uma nova investigação revelou uma campanha maliciosa massiva que utiliza complementos falsos de IA para roubar credenciais, ler e-mails privados e espiar a atividade de navegação de mais de 300 mil pessoas.
A campanha, denominada "AiFrame", envolve um conjunto de 30 extensões maliciosas disponíveis para o Google Chrome. Estas ferramentas prometem integrar assistentes populares, como o ChatGPT ou o Gemini, diretamente na barra lateral do browser, mas na realidade funcionam como portas de entrada para o roubo de dados sensíveis.
O perigo escondido nas ferramentas de IA
Segundo uma análise detalhada da plataforma de segurança LayerX, estas extensões partilham a mesma infraestrutura maliciosa e comunicam com um domínio único. O esquema é sofisticado: em vez de executarem as funcionalidades de IA localmente, estas extensões carregam o conteúdo através de um iframe de ecrã inteiro proveniente de um servidor remoto.
Esta técnica permite aos atacantes alterar a lógica da extensão a qualquer momento sem necessitar de lançar uma atualização oficial, contornando assim as revisões de segurança da Chrome Web Store. Em segundo plano, enquanto o utilizador pensa que está a interagir com um assistente legítimo, o software extrai o conteúdo das páginas visitadas, incluindo áreas de autenticação sensíveis.
Algumas das extensões identificadas, muitas das quais ainda estavam disponíveis para download no momento da descoberta, contam com dezenas de milhares de instalações. Entre os nomes mais populares encontram-se o "AI Sidebar" (com 70 mil utilizadores), "AI Assistant" (60 mil) e "ChatGPT Translate" (30 mil). Embora a extensão mais popular, "Gemini AI Sidebar", tenha sido removida do catálogo, muitas outras permanecem ativas, como o "AI GPT" e o "Google Gemini".
Gmail e conversas privadas sob ataque
A ameaça vai além do roubo genérico de credenciais. A investigação destaca que um subconjunto de 15 destas extensões tem como alvo específico o Gmail. Utilizando um script de conteúdo dedicado, estas extensões injetam-se na interface do serviço de e-mail e leem diretamente o conteúdo das mensagens a partir do DOM (Modelo de Objeto de Documento), recolhendo inclusive o texto de rascunhos que nunca chegaram a ser enviados.
As implicações para a privacidade são graves: sempre que o utilizador ativa uma funcionalidade de resposta assistida por IA ou resumo de e-mail, o conteúdo da mensagem, juntamente com os dados contextuais, é enviado para servidores controlados pelos atacantes.
Além do e-mail, as extensões também utilizam a API "Web Speech" para implementar mecanismos de reconhecimento de voz e transcrição de conversas. Dependendo das permissões concedidas, o software pode mesmo gravar conversas do ambiente circundante da vítima e enviar as transcrições para os operadores da campanha maliciosa.
Se instalaste recentemente extensões como "AI Sidebar", "ChatGPT Translate" ou qualquer assistente de IA com nomes genéricos, recomenda-se a sua desinstalação imediata. Aconselha-se também a alteração urgente das palavras-passe de todas as contas associadas ao navegador comprometido.
Nenhum comentário
Seja o primeiro!