Campanha com 108 extensões no Chrome Web Store compartilha infraestrutura de C2, coleta identidades, manipula sessões do Telegram Web e injeta JavaScript em páginas visitadas.
| Componente | 108 extensões do Google Chrome publicadas sob as identidades Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, incluindo complementos que se passam por clientes do Telegram, jogos, utilitários de página e aprimoradores de YouTube e TikTok. |
| Vetor | Instalação de extensões no Chrome Web Store que executam código em segundo plano, usam permissões do navegador, manipulam páginas visitadas e se comunicam com a mesma infraestrutura de C2. |
| Impacto | Coleta de identidade de conta Google via OAuth2, captura de dados de sessão do Telegram Web, injeção de anúncios e JavaScript arbitrário, abertura automática de URLs e remoção de cabeçalhos de segurança em alvos específicos. |
| Prioridade | Remover imediatamente extensões relacionadas, encerrar sessões ativas do Telegram Web pelo aplicativo móvel, revisar permissões de extensões e procurar tráfego para a infraestrutura defangada 144.126.135[.]238. |
| Artefatos | Exemplos citados incluem Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa), Web Client for Telegram - Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno) e Formula Rush Racing Game (akebbllmckjphjiojeioooidhnddnplj). |
| Mitigação | Além da remoção das extensões, a resposta deve incluir revisão de sessões web, auditoria de contas Google e Telegram, inspeção de políticas corporativas de extensões e bloqueio de comunicação com o C2 conhecido. |
Uma campanha envolvendo 108 extensões maliciosas para Google Chrome foi identificada com comportamento comum de coleta de dados, abuso do contexto do navegador e comunicação com a mesma infraestrutura de comando e controle. Os complementos foram publicados sob cinco identidades distintas, Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, e acumularam cerca de 20.000 instalações no Chrome Web Store. A diversidade de nomes e funções aparentes não indica campanhas isoladas: os componentes compartilham backend e encaminham dados de usuários para servidores controlados pelo mesmo operador.
O conjunto foi desenhado para parecer funcional e variado. As extensões se apresentam como clientes laterais do Telegram, jogos de slot e Keno, jogos de corrida, ferramentas para YouTube e TikTok, tradutores de texto e utilitários de página. Essa fragmentação aumenta a superfície de exposição porque alcança perfis diferentes de usuários, mas o comportamento técnico converge para execução em segundo plano, coleta de identidade, manipulação de páginas e abertura de URLs definidas pelo operador. O dado mais relevante para defesa é que a ameaça não depende apenas de uma extensão específica: o risco está no cluster, nas permissões concedidas ao navegador e na comunicação com a infraestrutura compartilhada.
Dentro do conjunto, 54 extensões coletam identidade de contas Google por meio de OAuth2, 45 contêm uma backdoor universal capaz de abrir URLs arbitrárias quando o navegador é iniciado, e as demais executam comportamentos maliciosos variados. Cinco extensões também usam a API declarativeNetRequest do Chrome para remover cabeçalhos de segurança de sites-alvo antes do carregamento da página. Esse detalhe amplia o impacto porque reduz controles de navegador que normalmente limitariam enquadramento, carregamento entre origens e injeção de conteúdo.
A campanha também afeta diretamente sessões do Telegram Web. Um dos exemplos, Telegram Multi-account, extrai o token user_auth usado pelo Telegram Web, envia o dado a um servidor remoto, pode sobrescrever localStorage com dados de sessão fornecidos pelo operador e força o carregamento do aplicativo de mensagens. Outro exemplo, Web Client for Telegram - Teleside, remove cabeçalhos de segurança do Telegram e injeta scripts voltados ao roubo de sessões. Em contas Google, Formula Rush Racing Game coleta identidade quando o usuário aciona o botão de login, incluindo e-mail, nome completo, URL da foto de perfil e identificador da conta Google.
O fluxo começa com a instalação voluntária de uma extensão que aparenta entregar uma função legítima. Após a instalação, o código em segundo plano passa a operar dentro do modelo de permissões concedido ao complemento. Esse posicionamento é crítico porque extensões de navegador podem observar navegação, alterar páginas, executar scripts, interagir com armazenamento local e acionar requisições de rede conforme suas permissões. Na campanha analisada, esse acesso foi usado para coletar informações de sessão, capturar identidade de contas e modificar o conteúdo carregado pelo usuário.
A cadeia contra Google usa o fluxo de identidade associado a OAuth2. No caso citado de Formula Rush Racing Game, a coleta ocorre no primeiro clique do usuário no botão de login. O material obtido não é descrito como senha, mas como atributos de identidade da conta: e-mail, nome completo, URL da imagem de perfil e identificador da conta Google. Para defesa, isso diferencia o incidente de roubo direto de credencial tradicional. O risco confirmado é a exposição de identidade e metadados de conta, que podem sustentar perfilamento, correlação de vítimas, fraude de identidade ou novas tentativas de engenharia social.
No Telegram Web, o comportamento é mais invasivo sobre sessão. A extensão Telegram Multi-account captura o token user_auth, exfiltra o valor para servidor remoto e pode alterar localStorage com dados de sessão definidos pelo operador. A capacidade de substituir dados locais e forçar o carregamento do Telegram significa que o navegador pode passar a apresentar uma sessão escolhida pelo invasor, deslocando a sessão ativa esperada pela vítima. Essa técnica não exige que o usuário execute comandos nem instale software adicional fora do navegador; a extensão já está no caminho de execução das páginas web.
Outro eixo da campanha é a manipulação do carregamento de páginas por meio de declarativeNetRequest. Cinco extensões removem cabeçalhos como Content Security Policy, X-Frame-Options e controles relacionados a CORS em sites-alvo, incluindo YouTube, TikTok e Telegram. A remoção desses cabeçalhos enfraquece barreiras que limitam injeção de scripts, enquadramento indevido e requisições entre origens. Com esses controles reduzidos antes da página carregar, o complemento consegue inserir overlays de jogos, anúncios e JavaScript arbitrário em páginas visitadas.
A backdoor universal presente em 45 extensões adiciona outro comportamento defensivamente relevante: abertura de URLs escolhidas pelo operador assim que o navegador inicia. Esse mecanismo pode ser usado para direcionamento forçado de tráfego, monetização abusiva por anúncios, exposição a páginas controladas por terceiros ou acionamento de novos fluxos maliciosos. O material analisado não confirma exploração adicional, instalação de malware nativo ou vazamento de senhas; portanto, a análise deve se limitar ao abuso de navegador, coleta de identidade, manipulação de sessão e injeção de conteúdo.
A superfície principal são perfis Chrome que instalaram qualquer uma das 108 extensões relacionadas. O canal de distribuição informado é o Chrome Web Store, o que aumenta a relevância para ambientes corporativos que permitem instalação livre de complementos ou mantêm políticas permissivas de navegador. A exposição não se restringe a usuários de Telegram: o conjunto inclui extensões com temas de jogos, tradução, páginas, YouTube e TikTok, o que amplia a chance de instalação por usuários sem relação aparente com mensageria.
Usuários que acessam Telegram Web pelo mesmo navegador estão em risco especial quando a extensão instalada interage com tokens e armazenamento local. A presença de localStorage no fluxo técnico também orienta a resposta: não basta fechar a aba, pois o material de sessão e as alterações locais podem persistir enquanto a extensão permanecer instalada. Para contas Google, o impacto confirmado envolve dados de identidade coletados no fluxo de login, especialmente quando o usuário interage com o botão de autenticação dentro da extensão maliciosa.
Ambientes gerenciados devem tratar o caso como abuso de extensão com impacto em identidade, sessão web e integridade de páginas carregadas. A infraestrutura de C2 compartilhada, hospedada no endereço defangado 144.126.135[.]238, oferece um ponto comum para correlação em logs de proxy, DNS, EDR e telemetria de navegador. A existência de comentários em russo em partes do código-fonte é um artefato observado, mas não sustenta atribuição conclusiva de operador, origem geográfica ou campanha estatal.
- Perfis Chrome com extensões publicadas por Yana Project, GameGen, SideGames, Rodeo Games ou InterAlt devem ser priorizados na revisão.
- Contas Telegram usadas no Telegram Web podem ter tokens de sessão e armazenamento local manipulados por extensões específicas.
- Contas Google expostas pelo fluxo
OAuth2têm risco confirmado sobre atributos de identidade, não sobre senha em texto claro no material analisado. - Sites como Telegram, YouTube e TikTok aparecem como alvos de remoção de cabeçalhos e injeção de conteúdo em parte do conjunto.
A investigação deve começar pelo inventário de extensões instaladas. Em ambientes corporativos, a telemetria de navegador, inventário de endpoint e políticas de gerenciamento do Chrome devem ser usados para localizar os IDs conhecidos e identificar extensões publicadas pelas identidades citadas. Como o conjunto contém 108 itens e apenas alguns exemplos aparecem no material analisado, a caça não deve depender exclusivamente de nomes visíveis ao usuário. Nomes de extensão podem ser genéricos, traduzidos ou intencionalmente próximos de ferramentas legítimas.
Em rede, a busca mais direta é comunicação de perfis Chrome ou processos de navegador com o C2 defangado 144.126.135[.]238. Essa verificação deve cobrir proxy, firewall, DNS passivo, EDR e logs de saída, respeitando retenção disponível. O objetivo não é apenas bloquear o endereço, mas identificar máquinas que já estabeleceram comunicação e precisam de contenção. Como todas as extensões compartilham o mesmo backend, a presença desse destino em tráfego de navegador é um sinal forte para priorizar resposta no endpoint.
No endpoint, os defensores devem observar alterações incomuns no armazenamento de extensões, requisições disparadas por processos de navegador, abertura automática de URLs no início da sessão e eventos de instalação recente de complementos com temas de Telegram, jogos, vídeo, tradução ou utilitários. Em serviços de identidade, vale revisar eventos de login e sessões web de Google e Telegram quando houver indício de extensão instalada. Para Telegram, a orientação operacional informada é encerrar todas as sessões Web a partir do aplicativo móvel, o que reduz a persistência da sessão capturada.
A telemetria de aplicação também pode mostrar sinais indiretos da remoção de cabeçalhos. Quebras de política associadas a Content Security Policy, carregamento anômalo de scripts, overlays inesperados, anúncios não autorizados e comportamento de enquadramento em páginas normalmente protegidas devem ser correlacionados com extensões instaladas no mesmo perfil. Esses sinais são menos determinísticos que o C2 conhecido, mas ajudam a confirmar abuso quando o tráfego direto não está disponível.
- Presença dos IDs
obifanppcpchlehkjipahhphbcbjekfa,mdcfennpfgkngnibjbpnpaafcjnhcjnoouakebbllmckjphjiojeioooidhnddnpljem perfis Chrome. - Conexões de navegador ou extensões para
144.126.135[.]238em logs de saída. - Eventos de instalação de extensões associadas a clientes do Telegram, jogos, YouTube, TikTok, tradução ou utilitários de página.
- Abertura automática de URLs no início do navegador sem ação explícita do usuário.
- Alterações de
localStoragerelacionadas ao Telegram Web após instalação ou atualização de extensão.
A primeira ação é remover as extensões relacionadas de todos os perfis afetados. Em ambiente gerenciado, a resposta deve ser feita por política centralizada do Chrome, bloqueando IDs conhecidos e restringindo instalação de extensões não aprovadas. A remoção manual em uma estáção isolada não é suficiente quando há possibilidade de instalação em múltiplos perfis, sincronização de conta ou reinstalação por usuários. A política deve impedir novas instalações enquanto o inventário é concluído.
Para usuários de Telegram Web, a contenção deve incluir encerramento de todas as sessões web pelo aplicativo móvel. Essa etapa é importante porque a campanha manipula tokens e armazenamento local do Telegram, e a simples remoção da extensão pode não invalidar uma sessão que já tenha sido capturada. Depois disso, o navegador deve ser reiniciado, o armazenamento local suspeito deve ser revisado conforme os procedimentos internos e o usuário deve confirmar se há sessões ou dispositivos desconhecidos associados à conta.
Para contas Google, a resposta deve focar revisão de atividade de conta, sessões recentes e consentimentos associados, lembrando que o dado confirmado no contexto é identidade da conta via OAuth2. Não há base para afirmar roubo de senha, mas há base para tratar o evento como exposição de atributos de identidade. Em organizações, esses dados podem ser usados para correlação de vítimas e engenharia social, então usuários afetados devem ser incluídos em monitoramento de tentativas de phishing e anomalias de autenticação.
Na camada de rede, o C2 defangado 144.126.135[.]238 deve ser bloqueado e usado para busca retroativa. O bloqueio reduz comunicação futura, mas a ação principal continua sendo erradicar a extensão do navegador. Também é necessário revisar se controles de proxy e inspeção conseguem distinguir tráfego originado por extensões, porque o processo pai será frequentemente o navegador. Em EDR, a investigação deve associar o evento ao perfil, ao diretório da extensão e ao usuário logado.
A prevenção duradoura passa por governança de extensões. Ambientes que dependem de Chrome devem manter lista de extensões permitidas, bloquear instalação por usuários sem aprovação, registrar mudanças de permissões, auditar extensões que solicitam acesso amplo a páginas e restringir complementos capazes de executar scripts em todos os sites. Extensões que interagem com mensageria, identidade, vídeo, tradução e utilitários de página merecem revisão adicional porque tendem a pedir permissões sensíveis e funcionam em contextos onde há sessão autenticada.
A validação final deve confirmar três pontos: ausência das extensões nos perfis, inexistência de comunicação recente com a infraestrutura conhecida e encerramento das sessões web afetadas. Quando houver evidência de manipulação de localStorage ou de remoção de cabeçalhos via declarativeNetRequest, o caso deve ser tratado como comprometimento do contexto do navegador, com coleta de evidências antes de limpeza completa do perfil. Essa abordagem preserva material útil para DFIR sem ampliar o risco para usuários.
- Remover as extensões relacionadas e bloquear reinstalação por política centralizada do Chrome.
- Encerrar sessões do Telegram Web pelo aplicativo móvel em contas que usaram o navegador afetado.
- Revisar atividade recente e sessões de contas Google associadas a perfis com extensões maliciosas.
- Bloquear e buscar retroativamente comunicação com
144.126.135[.]238. - Implantar allowlist de extensões e revisar permissões que permitem injeção de scripts, leitura de páginas e alteração de cabeçalhos.
0 Comentários