Campanha maliciosa de 7 anos implementou backdoor em extensões para Chrome e Edge

Pesquisadores de segurança identificaram um grupo de ameaças chamado ShadyPanda, responsável por uma campanha de malware que durou sete anos e potencialmente infectou milhões de usuários do Chrome e Edge. Esse grupo utilizou extensões aparentemente legítimas, muitas delas verificadas e destacadas pelas lojas oficiais, e as transformou silenciosamente em ferramentas de espionagem e controle total do navegador.

Algumas extensões foram publicadas entre 2018 e 2019, operando de forma totalmente legítima durante anos, ganhando selos de confiança e acumulando centenas de milhares de usuários. Em meados de 2024, o grupo implantou, silenciosamente, um backdoor capaz de coletar URLs visitados, histórico completo, padrões de navegação, fingerprints do navegador e identificadores persistentes, enviando tudo criptografado para servidores controlados pelo grupo.

Havia mecanismos para fugir de análises, como desativar o comportamento malicioso ao detectar ferramentas de desenvolvedor. Além disso, um service worker malicioso podia interceptar tráfego HTTPS e substituir scripts legítimos, abrindo espaço para roubo de credenciais e sequestro de sessões.

Mesmo com as extensões removidas das lojas, os navegadores infectados continuavam vulneráveis, já que o backdoor podia receber novas instruções a qualquer momento.

As lojas de extensões só analisam o código no momento da publicação. Depois disso, confiam cegamente no desenvolvedor e não monitoram mudanças de comportamento. Isso permitiu que extensões legítimas fossem transformadas em malware por meio de atualizações silenciosas.

Os plugins maliciosos incluem Clean Master (mais de 200 mil instalações), WeTab New Tab Page (3 milhões) e Infinity V+.