Uma operação de malware de longa duração, conhecida como "ShadyPanda", acumulou mais de 4,3 milhões de instalações de extensões para os navegadores Chrome e Edge que, a princípio, pareciam legítimas, mas evoluíram para malwares.
Descoberta pela empresa Koi Security, a campanha ocorreu em fases distintas, nas quais funcionalidades maliciosas foram introduzidas gradualmente, transformando as extensões de ferramentas aparentemente legítimas em spyware.
A operação ShadyPanda envolve 145 extensões maliciosas — 20 para Chrome e 125 para Edge — distribuídas ao longo dos anos.
Embora o Google já tenha removido essas extensões da Chrome Web Store, a Koi Security relata que a campanha ainda está ativa na plataforma Microsoft Edge Add-ons, onde uma das extensões acumula 3 milhões de instalações.
Não está claro se o número de instalações foi inflado artificialmente para aumentar a credibilidade das extensões.
As primeiras submissões das extensões ShadyPanda ocorreram em 2018, mas indícios de atividade maliciosa só foram detectados em 2023, quando algumas extensões, vendidas como ferramentas de papéis de parede e produtividade, começaram a agir de forma fraudulenta.
De acordo com os pesquisadores da Koi, essas extensões realizavam fraudes de afiliados ao inserir códigos de rastreamento de sites como eBay, Booking.com e Amazon em links legítimos, gerando comissões a partir das compras dos usuários.
No início de 2024, uma extensão chamada Infinity V+ passou a realizar search hijacking (sequestro de buscas), indicando que os operadores do ShadyPanda estavam se tornando mais ousados.
Segundo a Koi, essa extensão redirecionava consultas de pesquisa para o site trovi[.]com, exfiltrava cookies dos usuários para dergoodting[.]com e enviava consultas de busca para subdomínios do domínio gotocdn.
Em 2024, cinco extensões do conjunto, incluindo três originalmente publicadas em 2018 e 2019 que até então gozavam de boa reputação, foram atualizadas para incluir uma backdoor que permitia a execução remota de código.
“Cada navegador infectado executa um framework de execução remota de código.
A cada hora, ele consulta o api.extensionplay[.]com em busca de novas instruções, baixa JavaScript arbitrário e o executa com acesso completo às APIs do navegador”, explica a Koi Security sobre a funcionalidade da backdoor.
“Não se trata de um malware com função fixa.
É uma backdoor.”
Essa backdoor também exfiltra URLs de navegação, dados de fingerprinting e identificadores persistentes para api[.]cleanmasters[.]store, utilizando criptografia AES para proteger os dados transmitidos.
Entre essas extensões, destaca-se a Clean Master, disponível na Google Chrome Store, que contava com 200 mil instalações no momento em que foi detectada como maliciosa.
Ao todo, as extensões com essa mesma carga maliciosa somavam 300 mil instalações.
A quarta e última fase do ataque, ainda em curso, envolve cinco extensões para Microsoft Edge publicadas pela Starlab Technology em 2023.
Desde então, elas acumularam 4 milhões de instalações.
Os pesquisadores apontam que o componente spyware dessas extensões coleta dados como histórico de navegação, consultas de busca, digitação de teclas, cliques do mouse com coordenadas, informações de fingerprint e dados armazenados localmente (local/session storage e cookies), enviando tudo para 17 domínios localizados na China.
A Koi Security ressalta que essas extensões possuem permissões suficientes para distribuir uma backdoor similar àquela observada no conjunto Clean Master por meio de atualizações.
No entanto, até o momento, essa atividade mais agressiva não foi detectada.
Os pesquisadores informaram ao BleepingComputer que notificaram Google e Microsoft sobre as extensões maliciosas.
Embora elas tenham sido removidas da Chrome Web Store, na data de publicação, o BleepingComputer ainda encontrou as extensões “WeTab 新标签页” (3 milhões de usuários) e “Infinity New Tab (Pro)” (650 mil usuários) disponíveis na loja Microsoft Edge Add-ons.
A Koi Security disponibiliza, ao final de seu relatório, uma lista completa com todos os IDs das extensões vinculadas à operação ShadyPanda.
A recomendação para os usuários é remover essas extensões imediatamente e redefinir as senhas de suas contas em todas as plataformas online que utilizam.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...