hacker-1952027_640.jpg

Atualização silenciosa transforma extensões em backdoor

Um grupo apelidado de ShadyPanda conduziu, ao longo de sete anos, uma operação baseada em extensões de navegador “Featured” e “Verified” nas lojas do Chrome e do Edge, comprometendo cerca de 4,3 milhões de usuários com backdoors de execução remota de código (RCE) e spyware em larga escala. A estratégia foi operar extensões aparentemente legítimas (como “Clean Master”) por anos para ganhar avaliações, selo de confiança e grande base de instalação, só então liberar uma atualização silenciosa com código malicioso.

No caso do Clean Master, após atingir cerca de 300 mil usuários, uma atualização em meados de 2024 passou a fazer com que cada navegador infectado checasse, a cada hora, um servidor de C2 em api.extensionplay[.]com, baixando e executando JavaScript arbitrário com privilégios completos do navegador. Isso permite ao operador alternar dinamicamente entre vigilância, roubo de credenciais ou até entrega de ransomware, contornando análises estáticas de extensões.

Campanha em escala com extensões no Edge

Enquanto as extensões maliciosas de Chrome já foram removidas, a fase mais recente da campanha se apoia em cinco extensões ativas no marketplace do Microsoft Edge, incluindo a popular “WeTab”, somando mais de 4 milhões de usuários. Essas extensões coletam fingerprint detalhado do navegador, termos de busca e URLs completas e enviam os dados para servidores na China, incluindo domínios da Baidu e infraestrutura privada controlada pelos atacantes.

A telemetria inclui histórico de navegação em tempo real, cliques do mouse com precisão de pixels, elementos de página acessados e comportamento de rolagem, transformando navegadores pessoais e corporativos em dispositivos de vigilância contínua. Além disso, o malware extrai identificadores persistentes (UUID4), conteúdo de localStorage/sessionStorage e cookies, abrindo caminho para hijacking de sessão e perfis que sobrevivem a mecanismos anti‑rastreamento.

Dados coletados pelos módulos de ShadyPanda

Com base na análise da Koi Security, os módulos das diferentes fases da campanha coletam:

  • Atividade de navegação: histórico completo de URLs, HTTP referrers, padrões de navegação e timestamps, com exfiltração criptografada por AES em fases anteriores e envio em tempo real na fase WeTab.
  • Entrada do usuário e buscas: termos de pesquisa (Google, Bing etc.), digitação em tempo real (incluindo erros e correções) e “intenção antes do Enter”, parte do tráfego sendo enviado sem criptografia em fases antigas e para servidores Baidu/WeTab na fase recente.
  • Fingerprinting de dispositivo: user agent, sistema operacional, resolução de tela, fuso horário e idioma do sistema, usados para construir perfis únicos resistentes a bloqueadores.
  • Biometria comportamental: coordenadas de clique, elementos clicados, profundidade de scroll e tempo ativo em cada página, transmitidos em alta frequência para servidores de monitoramento na China.

Falha estrutural no modelo de segurança de extensões

O caso evidencia um problema estrutural: o modelo de segurança de lojas de extensões é baseado em confiança estática (revisão inicial e selo de confiança), enquanto o código é dinâmico e pode ser alterado a qualquer momento via auto‑update. Ao esperar anos para “armar” a atualização automática, ShadyPanda contornou o principal mecanismo de proteção de Chrome Web Store e Edge Add-ons, usando o próprio pipeline de atualização — projetado para proteger usuários — como vetor de infecção por trás de firewalls corporativos.

Como se proteger

  • Remover imediatamente extensões citadas em relatórios públicos (como Clean Master, WeTab e correlatas) e revisar qualquer extensão pouco conhecida com permissões amplas (acesso a todos os sites, dados de abas, cookies etc.).
  • Nas empresas, fazer inventário e política de allowlist de extensões em Chrome/Edge, bloqueando instalações não autorizadas e monitorando novas permissões concedidas.
  • Investigar possíveis incidentes: revisar históricos de navegação, sessões de contas críticas e tokens de login, e forçar logoff e rotação de senhas em serviços sensíveis se houver suspeita de uso dessas extensões.
  • Para times de segurança, criar detecções para tráfego recorrente a domínios como api.extensionplay[.]com e outros IOCs publicados pela Koi Security e veículos especializados.