sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)
15 de julho de 2026
Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada
14 de julho de 2026
Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA
14 de julho de 2026
Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos
14 de julho de 2026
quarta-feira, julho 15, 2026
Top Posts
ChatGPT caiu? Serviço da OpenAI instável nesta noite...
Aplicativo da ANP dá nota aos postos e...
Vingadores: Doutor Destino ganha duração oficial e data...
Agência dos Correios fecha por falta de funcionários...
Finalista da Copa masculina, Espanha pode "unificar" títulos...
Home office: 106 vagas para trabalho remoto [14/07]
Campinas chega a 20 mortes por gripe em...
Com Amor, Alcione: exposição celebra a dama do...
Metaphor: ReFantazio e mais jogos da Steam com...
Saruê é encontrado escondido em calha de casa...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)
15 de julho de 2026
Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada
14 de julho de 2026
Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA
14 de julho de 2026
Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos
14 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)
15 de julho de 2026
Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada
14 de julho de 2026
Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA
14 de julho de 2026
Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos
14 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

108 extensões maliciosas no Chrome roubam sessões do Telegram e identidades Google

por SampaNews 15 de abril de 2026
15 de abril de 2026
42

Pesquisadores da Socket identificaram 108 extensões maliciosas na Chrome Web Store conectadas a uma infraestrutura de comando e controle (C2) compartilhada, hospedada no domínio cloudapi[.]stream. As extensões acumulam mais de 20 mil instalações e seguem ativas.

As 108 extensões estão publicadas sob cinco identidades de desenvolvedores distintas e enviam credenciais roubadas, identidades de usuários e dados de navegação para servidores controlados pelo mesmo operador. A campanha cobre categorias diversas, como clientes do Telegram, jogos de slot machine e keno, ferramentas para YouTube e TikTok, tradutor de texto e extensões de utilidade de página.

smart_display

Nossos vídeos em destaque

A fachada legítima é parte do esquema. Quem instala um cliente Telegram vê uma interface de chat funcional. Quem instala um jogo consegue jogar. O código malicioso roda em segundo plano, conectado ao C2.

Quatro das 108 extensões maliciosas na Chrome Web Store: Telegram Multi-account, Black Beard Slot Machine, Page Locker e InterAlt, todas publicadas sob identidades distintas mas conectadas à mesma infraestrutura. Imagem: Socket.

Extensão rouba sessão ativa do Telegram a cada 15 segundos

A ameaça mais grave da campanha é a extensão Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa). Ela injeta um script na página web.telegram.org antes de qualquer interação do usuário e extrai o token de autenticação da sessão ativa diretamente do localStorage do navegador.

Esse token é enviado imediatamente ao C2 e reenviado a cada 15 segundos enquanto a aba estiver aberta. Os dados chegam ao endpoint tg[.]cloudapi[.]stream/save_session.php via requisição POST.

A extensão também aceita um comando remoto que apaga o localStorage da vítima, substitui pelo conteúdo enviado pelo servidor do atacante e força o recarregamento do Telegram. O operador consegue trocar a conta ativa no navegador por qualquer outra sessão sem que o usuário perceba, sem exigir senha ou código de autenticação em dois fatores.

extensão google (1).png
Registro no Shodan mostra o IP 144.126.135.238, servidor da Contabo GmbH que hospeda o backend compartilhado por todas as 108 extensões. O hostname 100ballov.com.ua aponta para origem ucraniana. Imagem: Socket.

54 extensões capturam identidade Google via OAuth2

Cinquenta e quatro das 108 extensões capturam a identidade Google do usuário no primeiro clique no botão de login. O código é idêntico em todas elas. A extensão usa a API chrome.identity para obter um token OAuth2 válido, o que gera uma janela de login padrão do Google, sem nenhum sinal de alerta visível.

A extensão então usa esse token para consultar o endpoint oficial de perfil do Google. O que chega ao servidor do atacante é um registro permanente com e-mail, nome completo, URL da foto de perfil e o campo sub, basicamente um identificador estável de conta que não muda quando o usuário altera senha ou endereço de e-mail.

Backdoor abre URLs arbitrárias a cada inicialização do Chrome

Quarenta e cinco extensões incluem uma função chamada loadInfo() que roda automaticamente toda vez que o Chrome é iniciado. Ela envia o ID da extensão ao C2 e abre o endereço retornado em uma nova aba caso a resposta inclua um campo infoURL. 

extensão google (2).png
A página do Rodeo Games Studio, um dos cinco publicadores identificados pela Socket, usa e-mail do Gmail como contato de suporte. Imagem: Socket.

Sem interação do usuário e sem restrição sobre qual URL pode ser carregada. Esse canal funciona independentemente de o usuário ter aberto a extensão alguma vez.

Em duas delas, Page Locker e Page Auto Refresh, a função usa sintaxe diferente do restante do código minificado. A Socket avalia que o loadInfo() foi injetado posteriormente, em extensões já existentes que foram adquiridas ou reaproveitadas pelo operador.

YouSide, TikTok e Telegram têm proteções de segurança removidas

Cinco extensões usam a API declarativeNetRequest do Chrome para remover cabeçalhos de segurança antes que as páginas terminem de carregar, incluindo Content-Security-Policy e X-Frame-Options, que impedem conteúdo externo de ser embutido ou manipulado. As extensões YouSide e SideYou fazem isso com o YouTube.

extensao-proton-vpn-agora-e-gratuita-para-todos-banner.png
Todas as 108 extensões compartilham a mesma infraestrutura de comando e controle, hospedada em um único servidor.

A Web Client for TikTok aplica o mesmo procedimento com o TikTok e injeta conteúdo do domínio multiaccount[.]cloudapi[.]stream diretamente em todas as páginas visitadas. Tanto a Teleside quanto a YouSide exibem um banner de apostas por cima da interface prometida ao usuário.

Infraestrutura e comentários em russo apontam para operação unificada

Todas as 108 extensões compartilham o mesmo backend, hospedado no IP 144[.]126[.]135[.]238, um VPS da Contabo GmbH. O domínio cloudapi[.]stream foi registrado em abril de 2022 pela Hosting Ukraine LLC.

A evidência mais forte de autoria unificada vem dos projetos do Google Cloud. Os cinco nomes de publicadores na Chrome Web Store, Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, usam apenas dois projetos, identificados pelos IDs 1096126762051 e 170835003632. Os 56 client IDs OAuth2 únicos das 54 extensões de roubo de identidade apontam todos para esses dois projetos.

pessoa-digitando-codigo-de-autenticacao-no-notebook
Extensões maliciosas conseguem roubar sessões ativas sem exigir senha ou autenticação em dois fatores.

Comentários em russo aparecem no código de autenticação e de roubo de sessão. Três dos sete e-mails registrados contêm variantes do mesmo nome, nadejdinv, viktornadiezhdin e slava.nadejdin.kiev, associados a 30 extensões.

O portal topup[.]cloudapi[.]stream descreve um negócio de monetização de extensões Chrome. A existência de um portal de pagamento e de um sistema de ID por vítima aponta para o modelo de Malware-as-a-Service. Identidades e sessões roubadas estão acessíveis a compradores com acesso ao backend.

O que fazer se você tem alguma dessas extensões instalada

Usuários do Telegram Multi-account que acessaram o Telegram Web com a extensão ativa devem encerrar todas as sessões remotas pelo aplicativo móvel, em Configurações > Dispositivos > Encerrar todas as outras sessões. Quem fez login com conta Google em qualquer extensão de jogos ou sidebar deve revisar acessos de terceiros em myaccount.google.com/permissions e revogar entradas desconhecidas.

A Socket enviou pedidos de remoção à equipe de segurança da Chrome Web Store e ao Google Safe Browsing. As extensões seguiam ativas no momento da publicação do relatório.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Trump volta a provocar papa Leão XIV após críticas do pontífice à guerra contra o Irã
próxima postagem
Fim da escala 6×1: os próximos passos de PL de Lula e como fica a PEC de Erika Hilton

Você também pode gostar

ChatGPT caiu? Serviço da OpenAI instável nesta noite...

15 de julho de 2026

Vingadores: Doutor Destino ganha duração oficial e data...

14 de julho de 2026

Home office: 106 vagas para trabalho remoto [14/07]

14 de julho de 2026

Metaphor: ReFantazio e mais jogos da Steam com...

14 de julho de 2026

POSTS MAIS RECENTES

  • ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)
  • Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada
  • Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA
  • Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos
  • Finalista da Copa masculina, Espanha pode "unificar" títulos mundiais

Siga-nos

  • Recente
  • Popular
  • ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)

    15 de julho de 2026
  • Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada

    14 de julho de 2026
  • Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA

    14 de julho de 2026
  • Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos

    14 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Home office: 106 vagas para trabalho remoto [14/07]

14 de julho de 2026

Campinas chega a 20 mortes por gripe em...

14 de julho de 2026

Com Amor, Alcione: exposição celebra a dama do...

14 de julho de 2026

Metaphor: ReFantazio e mais jogos da Steam com...

14 de julho de 2026

Saruê é encontrado escondido em calha de casa...

14 de julho de 2026

Leitura obrigatória

  • ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)

    15 de julho de 2026
  • Aplicativo da ANP dá nota aos postos e salva seu carro da gasolina batizada

    14 de julho de 2026
  • Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA

    14 de julho de 2026
  • Agência dos Correios fecha por falta de funcionários e deixa moradores surpresos

    14 de julho de 2026
  • Finalista da Copa masculina, Espanha pode "unificar" títulos mundiais

    14 de julho de 2026

Newsletter

Posts relacionados

  • ChatGPT caiu? Serviço da OpenAI instável nesta noite (14)

    15 de julho de 2026
  • Vingadores: Doutor Destino ganha duração oficial e data de pré-venda nos EUA

    14 de julho de 2026
  • Home office: 106 vagas para trabalho remoto [14/07]

    14 de julho de 2026
  • Metaphor: ReFantazio e mais jogos da Steam com até 90% OFF na Nuuvem; confira

    14 de julho de 2026
  • RedHook: vírus usa função do próprio Android para roubar usuários

    14 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Dieese: Custo da cesta básica sobe em todas as 27 capitais pela 2ª vez consecutiva
11 de maio de 2026
Justiça extingue ação contra desfile da Acadêmicos de Niterói que homenageia Lula
11 de fevereiro de 2026
Mixtape fica 64% mais barato na PS Store brasileira após pressão da comunidade
22 de maio de 2026

Categorias Populares

  • Tecnologia (6.200)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.164)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.159)
  • Bragança Paulista (1.138)
  • Esporte (831)
  • Saúde (509)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home