Pesquisadores detectam campanha de spyware em extensões do Chrome
TL;DR
Pesquisadores da Koi Security revelaram uma campanha de spyware chamada ShadyPanda, que utiliza extensões para Chrome e Edge para coletar dados dos usuários ao longo de mais de sete anos.
Pesquisadores da Koi Security revelaram, nesta segunda-feira (1), uma longa campanha de spyware chamada ShadyPanda, que utiliza extensões para Chrome e Edge para coletar dados dos usuários. As extensões, que acumulam mais de 4,4 milhões de downloads, foram alteradas para espionar as atividades online dos usuários ao longo de mais de sete anos.
A campanha começou em 2018, quando extensões inicialmente legítimas, voltadas para produtividade e papéis de parede, foram publicadas. O objetivo inicial era conquistar a confiança dos usuários e obter uma base sólida. Como resultado, algumas dessas extensões ganharam selos de "Em Destaque" e "Verificado", fazendo com que os criminosos explorassem a confiança estabelecida.
De acordo com a Koi Security, os criminosos analisaram o processo de verificação do Chrome, que se baseia na submissão do código, ignorando o uso cotidiano. Após meses ou anos de funcionamento legítimo, as extensões passaram a realizar atividades maliciosas.
Monetização e coleta de dados
Em 2023, 145 extensões foram identificadas como ferramentas de fraudes, sendo 125 para o Edge e 20 para o Chrome. Essas extensões, disfarçadas de provedores de papéis de parede, inseriam links afiliados em lojas virtuais, permitindo que os criminosos recebesse comissões indevidas sem impactar diretamente os consumidores.
Além da monetização passiva, as extensões também catalogavam informações de navegação dos usuários, enviando dados ao Google Analytics. Isso incluía hábitos de pesquisa e padrões de clique, tudo coletado sem o consentimento dos usuários.
Invasão de navegadores e coleta de dados sensíveis
No início de 2024, a abordagem de ShadyPanda se tornava mais agressiva, focando na invasão de navegadores para roubo de dados. Uma extensão chamada Infinity V+ exemplifica essa nova tática, redirecionando buscas para um site maligno, trovi.com, enquanto vendia informações dos usuários para terceiros.
A extensão também manipulava resultados de busca e capturava cookies, criando um ID único para rastrear atividades online. Essa técnica baseava-se no uso de um framework, que permitia a execução de códigos maliciosos remotamente, conhecido como backdoor, dando acesso amplo a informações do navegador.
Identificação de extensões maliciosas
Entre as extensões maliciosas, cinco continuavam ativas na loja do Edge em 2025, somando mais de 4 milhões de instalações. Destaca-se a WeTab New Tab Page, que coletava informações em tempo real sobre URLs acessados, pesquisas e cliques.
Para proteger-se de extensões prejudiciais, recomenda-se verificar o desenvolvedor e ler avaliações antes da instalação. Extensões com informações públicas escassas ou que apresentem histórico suspeito são sinais de alerta. Além disso, uma revisão regular das extensões instaladas e a manutenção de um comportamento vigilante no uso do navegador são práticas recomendadas.
A confiança no uso diário de tecnologias deve ser acompanhada de cautela, principalmente ao aproveitar extensões e complementos no navegador.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
