Threats
O grupo de ameaças, identificado como ShadyPanda, recorreu a extensões legítimas de Chrome e Edge para conduzir uma campanha de malware de longa duração, afetando milhões de instalações
02/12/2025
|
Milhões de utilizadores de Chrome e Edge foram afetados por uma campanha de malware que se prolongou durante sete anos. Durante este período, o grupo de ameaças, a atuar com o nome “ShadyPanda”, infetou milhões de dispositivos e foi responsável por explorar os navegadores, recorrendo às extensões “Featured” e “Verified” para implementar backdoors de execução remota de código e operações massivas de spyware. A estratégia do grupo passava por operar extensões legítimas para construir, no decorrer dos anos, uma base de utilizadores de forma a conquistar a confiança do Google e da Microsoft. De acordo com a Bleeping Computer, a operação, descoberta pela Koi Security, ter-se-á desenvolvido em fases distintas, onde foram sendo introduzidas funcionalidades maliciosas adicionais, transformando a extensão do navegador em spyware. Os primeiros sinais de atividade maliciosa foram observados em 2023, num conjunto de extensões, responsáveis por injetarem código de rastreamento do eBay, Booking e Amazon com links legítimos. No início de 2024, uma extensão designada Infinity V+ começou a realizar search hijacking; no mesmo ano, cinco extensões foram modificadas para incluir um backdoor que era entregue através de uma atualização, o que culminava em execução remota de código. O backdoor foi também responsável por exfiltrar URL de navegação, informações de impressão digital e identificadores persistentes para api[.]Cleanmasters[.]armazenar, através da criptografia AES. O Clean Master, disponível na Google Chrome Store, contava com 200 mil instalações na altura em que foi identificado como malicioso. No total, as extensões que carregavam a mesma carga útil atingiram 300 mil instalações. “O navegador infetado corre com um framework de execução remota de código. A cada hora, verifica o api.extensionplay[.]com para novas instruções, baixa JavaScript arbitrário e executa com acesso completo à API do navegador”, explica a Koi Security sobre a funcionalidade do backdoor. A segunda fase compreendeu uma operação massiva de spyware que incluiu cinco extensões adicionais com mais de quatro milhões de instalações combinadas, não sendo possível confirmar se se tratam de infeções ativas. Os investigadores da Koi Security atribuem a longevidade da campanha a uma falha consistente nos processos de revisão das extensões, apelando a auditorias mais frequentes a extensões instaladas nos navegadores de forma a colmatar futuros episódios. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
