Destaques

Tecnologia , , , ,

Extensões do Chrome infectam milhões em ciberataque ativo há mais de 7

chrome virus 0183c2322c

Um extenso ataque cibernético, apelidado de ShadyPanda, expôs milhões de usuários de navegadores Chrome e Edge a riscos significativos. A campanha, que perdura há mais de sete anos, envolveu a modificação de extensões aparentemente inofensivas para espionar e roubar dados, afetando um total estimado de 4,4 milhões de downloads. Pesquisadores da Koi Security revelaram que essas extensões, após conquistarem a confiança dos usuários e das plataformas de distribuição, foram transformadas em ferramentas de vigilância, destacando as vulnerabilidades nos processos de revisão e segurança das lojas de extensões. A complexidade e a persistência da ameaça ressaltam a necessidade de maior conscientização e medidas de proteção por parte dos usuários.

O Início Discreto da Campanha ShadyPanda

A estratégia de Longo Prazo

A campanha ShadyPanda começou em 2018 com a publicação de extensões aparentemente legítimas para Chrome e Edge, focadas em produtividade ou oferecendo papéis de parede personalizados. O objetivo inicial era construir uma reputação de confiança e conquistar uma base de usuários considerável. Essa estratégia de longo prazo permitiu que as extensões fossem aprovadas pelas plataformas e recebessem selos de “Em Destaque” e “Verificado”, aumentando ainda mais a sua credibilidade.

Exploração das Falhas de Segurança

Os criminosos exploraram a forma como o Chrome avalia as extensões, que se baseia principalmente no código no momento da submissão, e não no uso contínuo. Isso permitiu que eles entendessem o comportamento dos usuários por meses ou anos antes de implementar atualizações maliciosas. As extensões, inicialmente seguras, foram alteradas para realizar atividades de espionagem, aproveitando a confiança já estabelecida com os usuários.

A Escalada das Ações Maliciosas

Monetização Passiva e Fraudes Menores

Em 2023, cerca de 145 extensões foram usadas para aplicar pequenas fraudes, incluindo 125 no Edge e 20 no Chrome. Essas extensões, muitas vezes disfarçadas como provedoras de papel de parede, inseriam links de afiliados em sites de comércio eletrônico, como eBay e Amazon. Isso gerava comissões indevidas para os criminosos sem prejudicar diretamente os consumidores.

Além disso, as extensões coletavam e vendiam silenciosamente os registros de navegação dos usuários, utilizando o Google Analytics para rastrear informações como sites visitados, pesquisas e padrões de clique. Esses dados eram monetizados sem o conhecimento ou consentimento dos usuários.

Invasão e Sequestro de Navegadores

No início de 2024, a campanha ShadyPanda se tornou mais agressiva, com foco na invasão remota dos navegadores para roubar dados sensíveis. A extensão “Infinity V+” exemplificou essa abordagem. Uma vez ativada, a extensão redirecionava as buscas para o site “trovi.com”, um domínio malicioso usado por criminosos, onde as palavras-chave e os termos pesquisados eram vendidos para terceiros. Os resultados de pesquisa também eram manipulados para gerar lucro, inclusive em tempo real, antes mesmo do usuário pressionar “Enter”.

A extensão também era capaz de ler os cookies de sites específicos e enviar informações relevantes para outro domínio. Uma ID única era criada para monitorar a atividade dos usuários com precisão.

Execução Remota de Códigos e Backdoors

Entre as centenas de extensões falsas, cinco se destacaram por terem operado legitimamente por um longo período, acumulando até 300 mil instalações antes de serem atualizadas com código malicioso. Essas extensões passaram a executar códigos remotamente, buscando instruções de um servidor a cada hora e executando-as com total acesso à API dos navegadores.

Essa funcionalidade permitia a criação de backdoors, vulnerabilidades discretas usadas para instalar ransomware, espionar, coletar dados e realizar outras atividades maliciosas. As extensões coletavam e transmitiam dados, como URLs acessadas, histórico de navegação, informações do navegador, registros de datas e horários, identificadores únicos e características do navegador.

As ameaças conseguiam evitar a análise, modificando o próprio código. No entanto, essas extensões já foram removidas.

Novas Vítimas

Em 2025, os agentes do ShadyPanda lançaram cinco novas extensões, que permanecem ativas na loja de add-ons do Edge. Essas extensões, com destaque para “WeTab New Tab Page”, possuem mais de quatro milhões de instalações.

A WeTab, disfarçada de ferramenta de produtividade, coleta e envia dados para 17 domínios, incluindo servidores do Baidu e do próprio WebTab, além do Google Analytics. A extensão coleta URLs acessadas, histórico de navegação, pesquisas, cliques do mouse, características do navegador e dados sobre a interação do usuário com as páginas.

Conclusão

A campanha ShadyPanda representa um grave problema de segurança online, expondo milhões de usuários a riscos de espionagem, roubo de dados e outras atividades maliciosas. A complexidade e a persistência da ameaça destacam a necessidade de medidas de segurança mais robustas nas lojas de extensões e de maior conscientização por parte dos usuários. Ao adotar práticas de segurança online, como verificar a reputação dos desenvolvedores, ler avaliações, manter o software atualizado e monitorar o comportamento do navegador, os usuários podem reduzir significativamente o risco de serem vítimas de ataques semelhantes.

FAQ

1. Como posso verificar se uma extensão do Chrome ou Edge é segura?
Verifique o desenvolvedor da extensão, leia avaliações recentes de outros usuários e confira se a extensão é realmente necessária para o seu uso. Evite extensões com poucas informações públicas, histórico suspeito de atualizações ou que tenham mudado de nome recentemente.

2. O que devo fazer se suspeitar que uma extensão maliciosa está instalada no meu navegador?
Remova imediatamente a extensão suspeita do seu navegador. Em seguida, execute uma verificação completa do sistema com um software antivírus atualizado para detectar e remover qualquer malware que possa ter sido instalado.

3. As lojas oficiais do Chrome e Edge são totalmente seguras?
Embora as lojas oficiais do Chrome e Edge possuam mecanismos de verificação, elas não são totalmente imunes a extensões maliciosas. É importante que os usuários adotem uma postura vigilante e sigam as práticas de segurança online recomendadas para se protegerem.

Está preocupado com a segurança do seu navegador? Aprenda mais sobre como proteger seus dados online e manter sua navegação segura.

Fonte: https://www.tecmundo.com.br

Tag

Related Posts

Você pode ter perdido

ShopAfi - Tecnologia - Direitos reservados a Tapajós Online | Powered By SpiceThemes