Vírus profissional se disfarça de extensão do Chrome para roubar usuários

Um novo esquema de malware como serviço (MaaS) está circulando em fóruns de cibercrime russos, oferecendo um pacote completo para roubo de credenciais bancárias disfarçado como extensão legítima do Chrome.

O kit, batizado de Stanley pelos pesquisadores de segurança em referência ao nome do vendedor, promete aprovação garantida na Chrome Web Store oficial do Google por valores entre US$ 2 mil e US$ 6 mil.

A descoberta foi reportada ao Google e ao provedor de hospedagem em 21 de janeiro de 2026. O servidor de comando e controle foi derrubado no dia seguinte, mas a extensão maliciosa permanece disponível para download na loja oficial até o momento desta publicação.

O marketplace do crime digital

O Stanley apareceu pela primeira vez em 12 de janeiro de 2026, promovido através de uma listagem detalhada que não deixa margem para dúvidas: o vendedor, usando o pseudônimo "Стэнли" em cirílico, afirma explicitamente que sua extensão "passa pela moderação da Google Store".

A publicação vem acompanhada de uma lista completa de recursos e um vídeo demonstrativo mostrando ataques contra sites como Binance e Coinbase, posicionando o produto como um serviço turnkey, modelo de contratação onde um único fornecedor assume a responsabilidade total, pronto para uso.

O sistema de preços é escalonado em três níveis. O pacote básico custa US$ 2 mil, mas é o nível premium de US$ 6 mil que recebe destaque, porque além da customização e do painel de gerenciamento, o vendedor garante a publicação na Chrome Web Store.

Essa garantia transfere completamente o risco de distribuição do comprador para o vendedor e sugere que existe um método confiável e repetível para enganar os sistemas de revisão do Google.

Painel de controle digno de software empresarial

O vídeo demonstrativo revela uma interface web de gerenciamento surpreendentemente completa. O painel exibe todos os usuários infectados em uma lista organizada, incluindo endereços IP usados como identificadores únicos, status online ou offline em tempo real, timestamp da última atividade e informações sobre o histórico de navegação.

Os operadores podem clicar em infecções individuais para configurar ataques personalizados.
O processo de configuração é simples. Uma vez selecionado um alvo, os atacantes definem regras de sequestro de URL através de um diálogo intuitivo. Basta inserir a URL de origem, que é o site legítimo a ser interceptado, e a URL de destino, que é a página de phishing controlada pelo criminoso.

As regras podem ser ativadas ou desativadas individualmente por infecção, permitindo que os operadores preparem campanhas e as disparem no momento exato que desejarem.

Enquanto a barra de endereços do navegador continua exibindo o domínio legítimo como binance.com, a vítima vê e interage com conteúdo completamente controlado pelo atacante. Campos de login, botões de confirmação e até mensagens de erro são todos parte da armadilha.

Além do sequestro passivo de páginas, os operadores podem forçar as vítimas a visitarem sites maliciosos através de notificações push. Essas notificações aparecem como alertas nativos do Chrome, não de websites, carregando consigo toda a confiança implícita que o usuário deposita em seu navegador.

O vídeo demonstrativo mostra uma mensagem genérica sobre "novo marcador disponível", mas os criminosos podem escrever qualquer texto e associá-lo a qualquer URL de redirecionamento que desejarem.

Anatomia técnica do engano

Pesquisadores de segurança obtiveram uma amostra da extensão construída com o kit e desmontaram seu funcionamento. Esta versão específica é uma prova de conceito sem instalações reais, mas dado que o toolkit está sendo ativamente comercializado, versões customizadas provavelmente já estão sendo distribuídas para vítimas reais.

A extensão se apresenta aos usuários como "Notely", uma ferramenta minimalista para anotações e marcadores. Usuários podem de fato salvar notas e criar marcadores em páginas que visitam.

Esta funcionalidade legítima serve dois propósitos estratégicos. Primeiro, justifica as amplas permissões que a extensão solicita durante a instalação. Segundo, ajuda a acumular avaliações positivas de usuários satisfeitos antes que a funcionalidade maliciosa seja remotamente ativada.

As permissões solicitadas concedem à extensão controle absoluto sobre a experiência de navegação. A permissão de host "all_urls" combinada com capacidades de scripting e webNavigation significa que a extensão pode ler, modificar e interceptar literalmente qualquer site que a vítima visite.

O timing de injeção configurado como "document_start" garante que o código malicioso execute antes mesmo que o conteúdo da página legítima comece a carregar.

Em vez de gerar identificadores aleatórios para rastrear vítimas, a extensão usa algo muito mais útil para os atacantes: o endereço IP público do usuário. Isso permite não apenas identificar pessoas específicas, mas também correlacionar atividades através de múltiplos navegadores e dispositivos conectados à mesma rede.

Mais importante ainda, permite implementar segmentação geográfica para campanhas de phishing direcionadas a regiões específicas.

A comunicação com o servidor de comando e controle acontece através de um mecanismo persistente de polling a cada dez segundos. A extensão constantemente verifica se há novos comandos, notificações para enviar ou regras de redirecionamento para ativar.

O sistema também implementa rotação automática de domínios de backup, garantindo que mesmo se o servidor principal for derrubado pelas autoridades, a operação continue funcionando através de infraestrutura alternativa.

Quando uma vítima navega para um site na lista de alvos, a extensão entra em ação de forma brutal. Ela intercepta completamente a navegação e sobrepõe um iframe em tela cheia contendo a página de phishing do atacante.

O código JavaScript previne ativamente qualquer tentativa do navegador de carregar a página legítima, esconde todo o conteúdo original e injeta o iframe malicioso com permissões sandbox cuidadosamente calibradas para permitir scripts, formulários e popups, tudo posicionado fixamente sobre a viewport inteira com z-index máximo.

Sofisticação comercial, não técnica

Analisando o código em detalhes, fica claro que a implementação é funcional mas não sofisticada. As técnicas empregadas, como sobreposição de iframe, remoção de headers HTTP e polling de comando e controle, são métodos bem documentados e amplamente conhecidos na comunidade de segurança.

O código apresenta várias imperfeições como comentários escritos em russo misturados com código em inglês, blocos de tratamento de erros completamente vazios e inconsistências no gerenciamento de exceções.

O preço de US$ 6 mil não reflete a complexidade técnica do código, mas a garantia de publicação na Chrome Web Store e o painel de gerenciamento pronto para uso.

Contexto mais amplo

Stanley não surgiu do nada. Dezembro de 2025 trouxe o grupo DarkSpectre, que comprometeu 8,8 milhões de usuários do Chrome, Edge e Firefox através de três campanhas coordenadas. 

Em janeiro de 2026 duas extensões com 900 mil instalações combinadas estavam roubando silenciosamente conversas do ChatGPT e DeepSeek, sendo que uma delas carregava o selo "Featured" do Google.

No mesmo período, a campanha CrashFix manipulou usuários fazendo seus navegadores travarem intencionalmente e depois oferecendo a "solução" que era, na verdade, um trojan de acesso remoto.

O navegador se tornou o novo endpoint de segurança. Políticas corporativas de permitir que funcionários usem computadores e outros dispositivos pessoais, migração massiva para ambientes SaaS e a normalização do trabalho remoto fizeram do Chrome, Firefox e Edge as principais portas de entrada para dados empresariais e pessoais.

Os atacantes notaram essa mudança e adaptaram suas estratégias. Extensões maliciosas de navegador deixaram de ser um vetor secundário de ataque.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.