Pesquisa conduzida pelo pesquisador identificado como qcontinuum1 relatou a existência de 287 extensões do Chrome que coletam e exfiltram o histórico de navegação de cerca de 37,4 milhões de usuários. O trabalho descreve um ecossistema amplo de coleta e monetização de URLs e identifica extensões de uso popular entre as envolvidas.
Descoberta e metodologia
O estudo usou um sistema automatizado de varredura com containers Docker e um proxy man‑in‑the‑middle para inspecionar tráfego de saída das extensões, correlacionando transmissões com o comprimento das URLs — um indicador de exfiltração de histórico. Os autores optaram por reter detalhes técnicos específicos para reduzir o risco de adaptação imediata dos atacantes.
Escopo e atores identificados
- Alcance estimado: ~37,4 milhões de usuários impactados — equivalente a aproximadamente 1% da base global de usuários do Chrome, segundo a publicação.
- Extensões citadas: “Poper Blocker”, “Stylish”, “BlockSite” e outras encontraram‑se entre as listadas pelos pesquisadores como envolvidas em práticas de coleta indevida.
- Empresas/coletores: o relatório identifica extensões ligadas a atores comerciais e a brokers de dados. Similarweb, por exemplo, mantém extensões como “Website Traffic & SEO Checker” com cerca de 1 milhão de instalações; outra entidade ligada, “Big Star Labs”, teria 3,7 milhões de usuários afetados.
- Outros nomes apontados incluem Offidocs, Curly Doggo e, em alguns casos, extensões com origem em entidades chinesas; inclusive, ferramentas legítimas (como Avast Online Security) foram mencionadas em contextos de telemetria/coleção em massa.
Técnicas de ocultação e monetização
As extensões empregavam obfuscação (por exemplo ROT47) e, em alguns casos, uso de criptografia (AES‑256 com pares de chaves RSA) para proteger os pacotes de dados enviados a servidores remotos. Honeypots configurados pelos pesquisadores atraíram scrapers terceiros que consolidavam e monetizavam esses dados, segundo o relatório.
Riscos para organizações
Além de ameaças a usuários finais, o relatório destaca risco significativo de espionagem corporativa: URLs de intranets, dashboards SaaS e links internos podem expor informações sensíveis quando funcionários instalam extensões mal implementadas. A presença de identificadores em URLs também facilita ataques direcionados a indivíduos.
Limitações e o que não foi divulgado
Os autores limitaram a divulgação de indicadores técnicos para evitar a rápida adaptação das campanhas maliciosas. Portanto, o relatório público não traz todos os domínios de exfiltração, listas completas das 287 extensões ou amostras de tráfego criptografado — apenas resumo das técnicas e amostragens representativas.
Mitigações e recomendações
- Revisar e auditar extensões instaladas; remover imediatamente extensões listadas no relatório.
- Priorizar extensões open‑source que permitam auditoria de código e reduzir permissões desnecessárias ao instalar novas ferramentas.
- Organizações devem aplicar políticas de whitelisting de extensões em ambientes corporativos e usar monitoração de tráfego para detectar padrões de exfiltração.
- Consumidores e equipes de segurança devem considerar o uso de navegadores gerenciados e segregação de perfis (trabalho vs pessoal) para reduzir risco de vazamento de ativos internos.
Fonte do relato: Cyber Security News, com base em pesquisa de qcontinuum1. Não há evidência, nas informações públicas disponíveis, de listas completas divulgadas pelo autor — portanto, validação interna em ambiente controlado é recomendada antes de ações corretivas amplas.