Uma operação de malware de longa duração, apelidada de "ShadyPanda", conseguiu comprometer mais de 4,3 milhões de navegadores através de extensões aparentemente legítimas para o Google Chrome e Microsoft Edge. O esquema, que operou silenciosamente durante anos, transformou ferramentas de produtividade em autênticos espiões digitais.
A descoberta foi feita pelos investigadores da Koi Security, que detalham como esta campanha utilizou uma estratégia de paciência e evolução gradual. Ao todo, foram identificadas 145 extensões maliciosas (20 no Chrome e 125 no Edge) que, após ganharem a confiança dos utilizadores, recebiam atualizações que introduziam código malicioso.
De ferramentas úteis a porta de entrada para ataques
O aspeto mais alarmante da operação ShadyPanda é a sua metodologia. As primeiras submissões destas extensões remontam a 2018, apresentando-se como ferramentas inofensivas de gestão de tarefas ou fundos de ecrã. Durante anos, comportaram-se de forma legítima, acumulando uma base de utilizadores respeitável.
No entanto, a partir de 2023, os investigadores começaram a detetar atividades suspeitas. Inicialmente, o esquema focava-se em fraude de afiliados, injetando códigos de rastreio em sites como a Amazon ou eBay para gerar receitas ilícitas. Em 2024, a audácia aumentou: extensões como a "Infinity V+" começaram a sequestrar pesquisas e a exfiltrar cookies dos utilizadores.
A situação agravou-se quando várias destas extensões, incluindo algumas com anos de reputação limpa, receberam uma atualização que funcionava como uma "backdoor". Este mecanismo permitia a execução remota de código, verificando novos comandos a cada hora e descarregando scripts arbitrários com acesso total à API do navegador.
A ameaça persiste na loja da Microsoft
Embora a Google já tenha removido as extensões identificadas da sua Web Store, o cenário é diferente para os utilizadores do navegador da gigante de Redmond. O relatório indica que a campanha permanece ativa na plataforma de Add-ons do Edge.
Extensões publicadas pela "Starlab Technology", como a "WeTab 新标签页" (com cerca de 3 milhões de instalações) e a "Infinity New Tab (Pro)", ainda se encontravam disponíveis na altura da análise. Estas ferramentas contêm componentes de spyware capazes de recolher um vasto leque de dados sensíveis, que são posteriormente enviados para servidores localizados na China. Entre os dados roubados encontram-se:
Histórico de navegação completo;
Consultas de pesquisa e registo de teclas (keystrokes);
Cliques do rato e respetivas coordenadas;
Dados de "impressão digital" do sistema;
Cookies e armazenamento local de sessões.
A Microsoft e a Google foram alertadas sobre estas descobertas. Para os utilizadores que tenham alguma destas extensões instaladas, a recomendação é a remoção imediata das mesmas, seguida de uma alteração de palavras-passe em todas as contas online, dado o risco de exfiltração de credenciais e cookies de sessão.
Nenhum comentário
Seja o primeiro!