Um ator de ameaça chinês, monitorado pela Koi Security sob o codinome DarkSpectre, está por trás de três campanhas maliciosas envolvendo extensões para navegadores: ShadyPanda, GhostPoster e, mais recentemente, DarkSpectre.
Juntas, essas operações impactaram mais de 8,8 milhões de usuários ao longo de mais de sete anos nos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox.
A campanha ShadyPanda, revelada no início deste mês, tinha como objetivo o roubo de dados, o sequestro de consultas de busca e fraudes afiliadas, afetando 5,6 milhões de usuários.
Entre as mais de 100 extensões identificadas, destaca-se o add-on para Edge chamado “New Tab - Customized Dashboard”, que contém uma lógica bomba capaz de ativar comportamento malicioso após três dias de instalação — uma estratégia para parecer legítimo durante o período de revisão e, assim, ser aprovado.
Atualmente, nove dessas extensões permanecem ativas, enquanto outras 85 estão em modo “dormant sleepers” — inativas e aparentemente benignas, aguardando atualizações maliciosas que podem ocorrer, em alguns casos, após cinco anos.
A segunda operação, GhostPoster, foca principalmente em usuários do Firefox, utilizando utilitários e ferramentas VPN aparentemente inofensivas para injetar códigos JavaScript maliciosos.
Esses códigos sequestram links afiliados, realizam fraudes por clique e inserem trackers para espionagem.
A investigação revelou ainda extensões adicionais, como uma extensão do Google Translate para o navegador Opera, com quase um milhão de instalações, desenvolvida por um usuário chamado “charliesmithbons”.
A terceira campanha, batizada de The Zoom Stealer, compreende 18 extensões distribuídas entre Chrome, Edge e Firefox.
Elas se apresentam como ferramentas para inteligência em reuniões corporativas, mas coletam dados sensíveis de videoconferências, incluindo URLs com senhas incorporadas, IDs, tópicos, descrições, horários agendados, status de registro e até informações dos palestrantes e organizadores — como nomes, cargos, bios, fotos e afiliações.
Os dados são transmitidos em tempo real via conexão WebSocket.
Abaixo, a lista das principais extensões relacionadas, com suas respectivas plataformas:
Google Chrome: Chrome Audio Capture; ZED: Zoom Easy Downloader; X (Twitter) Video Downloader; Google Meet Auto Admit; Zoom.us Always Show "Join From Web"; Timer for Google Meet; CVR: Chrome Video Recorder; GoToWebinar & GoToMeeting Download Recordings; Meet Auto Admit; Google Meet Tweak (Emojis, Text, Cam Effects); Mute All on Meet; Google Meet Push-To-Talk; Photo Downloader for Facebook, Instagram+; Zoomcoder Extension; Auto-join for Google Meet.
Microsoft Edge: Edge Audio Capture.
Mozilla Firefox: Twitter X Video Downloader; x-video-downloader.
Grande parte dessas extensões se apresenta como ferramentas legítimas para videoconferência corporativa, como Google Meet, Zoom e GoTo Webinar, mas, na prática, exfiltram informações confidenciais das reuniões.
As extensões solicitam acesso a mais de 28 plataformas de videoconferência, incluindo Cisco WebEx, Microsoft Teams e outras, mesmo quando tais permissões não são necessárias para suas funções aparentes.
Segundo os pesquisadores Tuval Admoni e Gal Hachamov, “isso não é fraude contra consumidores, mas uma infraestrutura de espionagem corporativa”.
Eles destacam que o Zoom Stealer representa uma coleta sistemática e dirigida de inteligência sobre reuniões empresariais.
As extensões conquistam a confiança dos usuários por meio de avaliações positivas, enquanto realizam a vigilância silenciosamente.
A Koi Security alerta que as informações capturadas podem alimentar esquemas de espionagem industrial, ser vendidas a grupos maliciosos e facilitar ataques de engenharia social, além de operações massivas de falsificação de identidade.
A ligação com a China é apontada por diversos indícios, como o uso consistente de servidores de comando e controle hospedados na Alibaba Cloud; registros de provedores de conteúdo associados a províncias chinesas, como Hubei; códigos contendo strings e comentários em chinês; além de fraudes direcionadas a plataformas chinesas de comércio eletrônico, como JD.com e Taobao.
Conforme explicou a Koi Security, “DarkSpectre provavelmente opera infraestrutura adicional atualmente — extensões que parecem completamente legítimas porque ainda são legítimas.
Isso faz parte de uma fase de construção de confiança para acumular usuários e esperar o momento certo para ativar.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...