Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Extensões maliciosas de navegador ShadyPanda

Extensões maliciosas de navegador ShadyPanda

Por Mezo em Malware
Traduzir Para:

Num exemplo impressionante de exploração cibernética a longo prazo, um grupo de ameaças conhecido como ShadyPanda conduziu uma campanha de sete anos visando extensões de navegador, acumulando mais de 4,3 milhões de instalações. Esta operação demonstra como até mesmo softwares legítimos podem ser usados como armas quando a supervisão adequada está ausente.

De ferramentas legítimas a atualizações maliciosas

Cinco das extensões comprometidas começaram como aplicativos legítimos, mas foram modificadas com funcionalidades maliciosas em meados de 2024. Essas atualizações atraíram aproximadamente 300.000 instalações antes que as extensões fossem finalmente removidas. As atualizações maliciosas permitiam a execução remota de código a cada hora, possibilitando que invasores baixassem e executassem JavaScript arbitrário com acesso total ao navegador. Uma vez ativas, essas extensões:

  • Monitore todos os sites visitados.
  • Exfiltrar histórico de navegação criptografado.
  • Coletar impressões digitais completas do navegador.

Um exemplo notável é o Clean Master, que já foi verificado pelo Google. Seu status oficial ajudou o ShadyPanda a expandir sua base de usuários, permitindo atualizações maliciosas sem levantar suspeitas.

Vigilância em massa através de complementos populares

Outro conjunto de cinco extensões, incluindo o WeTab, monitorava usuários em larga escala. Esses complementos rastreavam URLs, consultas em mecanismos de busca, cliques do mouse e outras interações do navegador, transmitindo os dados para servidores localizados na China. No total, essas extensões foram instaladas aproximadamente quatro milhões de vezes, sendo que o WeTab sozinho foi responsável por três milhões de instalações.

Os primeiros indícios de comportamento malicioso surgiram em 2023, envolvendo os desenvolvedores 'nuggetsno15' e 'rocket Zhang', que publicaram 20 extensões para o Chrome e 125 extensões para o Edge disfarçadas de papéis de parede ou ferramentas de produtividade.

Exploração de fraudes de afiliados e sequestro de navegador

Inicialmente, as extensões da ShadyPanda se envolviam em fraudes de afiliados, injetando códigos de rastreamento em sites como eBay, Amazon e Booking.com para gerar comissões ilícitas. No início de 2024, as táticas evoluíram para o controle ativo do navegador, incluindo:

  • Coleta de consultas de pesquisa.
  • Redirecionamento de buscas através do trovi.com, um sequestrador de navegador conhecido.
  • Exfiltração de cookies de domínios específicos.

Em meados de 2024, três extensões com uso legítimo de longa data foram modificadas para buscar payloads JavaScript a cada hora em 'api.extensionplay(dot)com', executando-os para monitorar cada visita ao site e transmitir dados criptografados para 'api.cleanmasters(dot)store'. Os payloads foram fortemente ofuscados e entravam em modo benigno se ferramentas de desenvolvedor fossem detectadas, ajudando o malware a evitar a detecção.

Capacidades avançadas de ataque

Além do rastreamento, essas extensões poderiam realizar ataques do tipo "adversário no meio" (AitM), facilitando:

  • Roubo de credenciais.
  • Sequestro de sessão.
  • Injeção de código arbitrário em qualquer site.

A vigilância se intensificou com complementos do Microsoft Edge, como o WeTab, que capturavam extensas interações do usuário, incluindo comportamento de rolagem, tempo gasto nas páginas e todas as impressões digitais do navegador. Essas extensões não estão mais disponíveis para download em suas respectivas lojas de aplicativos.

Ações recomendadas para usuários

Esta campanha progrediu por quatro fases distintas, evoluindo de ferramentas legítimas para spyware sofisticado. Embora não esteja claro se o número de downloads foi inflado artificialmente para parecer legítimo, o risco para os usuários permanece grave. Usuários que instalaram alguma dessas extensões devem removê-las imediatamente e alterar as senhas de todas as suas contas online.

Exemplos de extensões afetadas:

  • Clean Master: o melhor limpador de cache do Chrome
  • Speedtest Pro - Teste de velocidade de internet online gratuito
  • BlockSite
  • Alternador de mecanismo de busca na barra de endereços
  • Nova aba do SafeSwift
  • Nova aba do Infinity V+
  • OneTab Plus: Gerenciamento de guias e produtividade
  • WeTab 新标签页
  • Infinity Nova guia para dispositivos móveis
  • Infinity New Tab (Pro)
  • Nova aba infinita
  • Dream Afar (Nova Aba)
  • Gerenciador de Downloads Pro
  • Papel de parede com tema de galáxia em HD 4K para página inicial
  • Página inicial de papéis de parede Halo 4K HD
  • Lições de ShadyPanda

O sucesso do ShadyPanda demonstra que a sofisticação técnica por si só não é necessária; a campanha prosperou explorando uma vulnerabilidade sistêmica nas lojas de extensões de navegador. As extensões são revisadas após o envio, mas o comportamento após a aprovação permanece amplamente sem monitoramento. Essa lacuna de supervisão a longo prazo permitiu que ferramentas confiáveis evoluíssem silenciosamente para plataformas de vigilância, evidenciando a necessidade de vigilância constante, mesmo com softwares verificados.

Tendendo

Mais visto

Carregando...