Durante sete anos, uma entidade hacker chamada ShadyPanda transformou 145 extensões do Chrome e Edge em spyware real. Ao final de sua mutação, as extensões eram capazes de desviar o histórico, os cookies e as buscas dos internautas.
Pesquisadores da Koi Security descobriram 145 extensões maliciosas visando Google Chrome e Microsoft Edge. Quando foram lançadas em 2018, as extensões fixadas eram totalmente legítimas. Segundo os pesquisadores, as primeiras versões não apresentavam a menor função maliciosa. Publicadas nas lojas oficiais, nomeadamente Chrome Web Store e Edge Add-ons, as extensões ganharam muitas instalações e críticas positivas ao longo dos anos.
Algumas extensões chegam até um rótulo verificado do Google. Isto indica que o editor da extensão é considerado confiável pelo Google e que sua identidade foi verificada. Resumindo, o Google foi enganado por hackers.
Todas as expansões foram lançadas por uma entidade criminosa chamada ShadyPanda por pesquisadores. Durante vários anos, essas extensões se comportaram de maneira totalmente normal, o que aumentou a confiança dos usuários e das lojas Google e Microsoft.
Leia também: Alerta vermelho no Chrome – 100 extensões fingem ser serviços conhecidos, como YouTube ou Deepseek
Extensões legítimas transformadas em spyware
Os primeiros sinais de atividade maliciosa foram observados cinco anos depois, em 2023. Naquele ano, as contas de desenvolvedores sob o controle do ShadyPanda começaram a ser implantadas. atualizações de extensão. Aproveitando a popularidade das extensões implantadas em 2018, eles implantaram uma atualização adicionando um backdoor aos navegadores de milhões de usuários da Internet. As adições maliciosas foram graduais.
Ao longo dos anos, as extensões foram transformadas em ferramenta de espionagem real. Após as atualizações, as extensões começaram a exfiltrar o histórico de navegação, palavras-chave digitadas no Google, todos os links em que você clicou, cookies e até mesmo as configurações técnicas do navegador. Esta informação foi enviada diretamente para domínios controlados pela ShadyPanda.
O mesmo mecanismo de atualização também tornou possível injetar código malicioso em páginas HTTPS para roubar credenciais ou sequestrar sessões ativas. Além disso, as extensões podem manipular os resultados da pesquisa para enviar os usuários da Internet a sites com armadilhas.
Leia também: Essas 57 extensões do Chrome podem espionar 6 milhões de PCs, desinstale-os com urgência
O problema da atualização
As extensões ShadyPanda usavam o mecanismo de atualização automática padrão do Chrome e Edge. A nova versão foi assim baixada em segundo plano, sem janela visível ao usuário. Como as extensões foram verificadas e confiáveis durante anos, ninguém suspeitou das atualizações. A Koi Security lamenta que as lojas revisem principalmente a extensão no momento do envio, mas “não olhe realmente para o que acontece a seguir”. O ShadyPanda explorou essa negligência bem conhecida, às vezes esperando vários anos antes de mudar para uma versão maliciosa, depois que todas as verificações foram aprovadas.
Os pesquisadores estimam que aproximadamente 4,3 milhões de usuários do Chrome e Edge foram afetados pela campanha de espionagem do ShadyPanda. Durante sete anos, “este ator aprendeu a explorar plataformas de download de extensões de navegador: ele estabeleceu confiança, reteve usuários e realizou ações direcionadas por meio de atualizações discretas”resume a Koi Security.
Entre as principais extensões destacadas pelo relatório estão Clean Master, Speedtest Pro – Teste de velocidade de Internet online gratuito, BlockSite, alternador de mecanismo de pesquisa da barra de endereços, SafeSwift New Tab, Infinity V + New Tab, OneTab Plus: Tab Manage & Productivity, WeTab 新标签页 (WeTab New Tab Page), Infinity New Tab for Mobile, Infinity New Tab (Pro), Infinity New Tab, Dream Afar New Tab, Download Manager Pro, Galaxy Theme Wallpaper HD 4k Página inicial e página inicial do Halo 4K Wallpaper HD.
Alertado pelos especialistas da Koi Security, o Google fez uma limpeza removendo todas as extensões maliciosas vinculadas à campanha. Infelizmente, este não é o caso da Microsoft. Algumas extensões ainda estão disponíveis no armazenamento de extensões do Microsoft Edge.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google News, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.
Fonte :
Segurança Koi