Ciberataque com extensões maliciosas do Chrome afeta milhões em 7 anos
Extensões maliciosas do Chrome e Edge monitoraram milhões, coletando dados sensíveis por mais de 7 anos; campanha revelada.
Ciberataque ShadyPanda: Extensões Maliciosas Afetam Milhões de Usuários
Um ciberataque que explorou extensões maliciosas do Chrome e do Microsoft Edge impactou milhões de usuários ao longo de mais de sete anos. Denominada ShadyPanda, a campanha começou de forma discreta, utilizando extensões de produtividade e temas de papéis de parede que foram alteradas para espionar dados e redirecionar buscas. Estima-se que essas extensões tenham sido baixadas mais de 4,4 milhões de vezes antes de serem descobertas e removidas.
Pesquisadores da Koi Security, especializada em cibersegurança, alertaram sobre a gravidade e a persistência do ataque, que visava dados de usuários sem seu consentimento, coletando informações sensíveis como hábitos de navegação e pesquisas. Com o tempo, as extensões maliciosas tornaram-se mais sofisticadas, permitindo que os criminosos se infiltrassem em sistemas de maneira imperceptível.
A Ascensão da Confiança Digital e a Infiltração Gradual
As extensões de ShadyPanda inicialmente focavam em tarefas inofensivas, como fornecer temas de papéis de parede e funcionalidades populares. Essa estratégia inteligente permitiu que as extensões conquistassem a confiança dos usuários, recebendo selos de “Em Destaque” e “Verificado” nas lojas oficiais de extensões do Chrome e do Edge.
Ao explorar a confiança dos usuários, os criminosos conseguiram modificar as extensões ao longo do tempo, transformando-as em ferramentas de espionagem. Essas alterações não foram detectadas inicialmente, pois o processo de análise do Chrome se baseia na submissão do código, não no comportamento pós-instalação, permitindo que as extensões permanecessem ativas por anos, coletando informações sem levantar suspeitas.
Metodologia de Fraude: Monetização Passiva e Coleta de Dados
Após a instalação, os atacantes utilizaram as extensões para gerar monetização passiva. Quando os usuários acessavam sites como eBay ou Amazon, os criminosos inseriam seus próprios links afiliados, recebendo comissões sobre compras realizadas, sem prejudicar diretamente os consumidores. Embora essa prática não fosse uma fraude evidente, já indicava que os criminosos estavam coletando dados sem o consentimento dos usuários.
Além disso, as extensões coletavam e vendiam silenciosamente informações de navegação, incluindo sites visitados e palavras-chave usadas nas buscas. A integração com o Google Analytics permitiu que essas informações fossem extraídas e processadas sem que os donos dos dados soubessem.
A Invasão Remota e o Roubo de Dados Sensíveis
Em 2024, a tática dos atacantes se intensificou com a atualização da extensão maliciosa Infinity V+, que permitiu a invasão remota dos navegadores. A partir dessa versão, as extensões passaram a redirecionar buscas para um site malicioso e manipular os resultados apresentados ao usuário, visando lucro para os criminosos.
Além do redirecionamento, os criminosos monitoravam as informações coletadas, incluindo conteúdo de cookies e dados de navegação, criando um ID único para cada usuário e facilitando a coleta contínua de dados pessoais e a construção de perfis detalhados sobre seus hábitos online.
A Execução Remota de Códigos e a Criação de Backdoors
Dentre as extensões fraudulentas, cinco se destacaram por sua capacidade de execução remota de códigos, conhecidos como backdoors. A partir de 2024, essas extensões começaram a buscar instruções de servidores controlados pelos criminosos e a executar comandos com total acesso à API do navegador, permitindo manipular a experiência de navegação e capturar informações sensíveis em tempo real.
O termo backdoor descreve vulnerabilidades que permitem acesso remoto a sistemas sem o conhecimento do usuário. No caso das extensões de ShadyPanda, essa falha permitiu que os criminosos coletassem e transmitissem dados diretamente para seus servidores, aumentando a gravidade do ataque.
A Persistência e a Evasão de Segurança
O ataque se manteve ativo por tanto tempo devido à sua capacidade de persistir e se esconder. As extensões maliciosas utilizavam técnicas de ofuscação para dificultar a análise dos pesquisadores de segurança. O código das extensões foi disfarçado com abreviações e outras técnicas que tornaram a detecção mais difícil, permitindo que as ferramentas permanecessem ativas por meses sem serem descobertas.
Após intensa análise, as extensões maliciosas foram finalmente removidas das lojas de aplicativos, mas não antes de comprometer milhões de usuários. A extensão WeTab New Tab Page, que sozinha foi responsável por mais de 3 milhões de downloads, ainda está ativa no Edge e continua representando uma ameaça.
Como se Proteger de Extensões Maliciosas
Para evitar o risco de instalar extensões maliciosas, especialistas recomendam cautela ao instalar qualquer complemento no navegador. Verifique quem é o desenvolvedor, leia avaliações de outros usuários e confirme se a extensão realmente atende a uma necessidade específica.
É importante também realizar auditorias regulares nas extensões instaladas, removendo aquelas que não são mais utilizadas e observando mudanças no comportamento do navegador, como redirecionamentos ou anúncios inesperados.
O uso de extensões sempre traz riscos, pois elas têm acesso aos dados de navegação. Portanto, recomenda-se baixar extensões apenas de fontes confiáveis, como as lojas oficiais do Chrome e do Edge, que, embora não sejam infalíveis, possuem mecanismos de verificação e podem eventualmente remover extensões problemáticas.
Fonte por: Its Show
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real
