Campanha ShadyPanda infecta Chrome e Edge há 7 anos sem ser notada

Pesquisadores da Koi Security identificaram uma campanha de malware que já afetou mais de 4,3 milhões de usuários do Google Chrome e do Microsoft Edge ao longo de sete anos.

• Atualização do Windows 11 faz opção de login com senha ficar invisível
• Falsa atualização do Windows esconde malware ClickFix em imagens

Chamada ShadyPanda, a campanha comprometeu os navegadores por meio de extensões de produtividade que pareciam legítimas, agindo silenciosamente por quase uma década sem ser detectada.

Os especialistas descobriram também que os criminosos por trás da operação conseguiam usar até mesmo extensões verificadas pelo Google, garantindo uma maior distribuição e confiança dos usuários. Ao todo, cerca de 145 foram comprometidas, sendo 20 no Chrome e 125 no Edge.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Sete anos de operação

Com uma operação datada de 2018, a ShadyPanda obteve sucesso ao explorar vulnerabilidades em lojas de aplicativos, que, embora revisem as extensões no momento de enviá-las, não seguem o processo de monitoramento depois da aprovação.

Inicialmente, a campanha de malware usava extensões de gestão de tarefas para enganar os usuários. A infecção acontecia de maneira automática por meio de atualizações legítimas do sistema dos navegadores, o que dificultava ainda mais a sua detecção.

Com a evolução da campanha, a ShadyPanda passou a incrementar suas ações, despertando suspeitas de especialistas por volta de 2023, quando o esquema passou a cometer fraudes a partir da injeção de códigos de rastreio em sites como Amazon e eBay.

As coisas foram esquentando em 2024, já que a campanha passou de uma “simples” monetização passiva para um controle ativo dos navegadores usando a extensão Infinity V+, por exemplo, uma falsa ferramenta de produtividade que sequestrava dados de pesquisa e fazia uma exfiltração de cookies.

Para completar, algumas dessas extensões receberam atualizações que funcionavam como um backdoor, permitindo que códigos maliciosos fossem implementados de maneira remota.

Campanha ainda persiste

Apesar da gravidade da situação, os especialistas identificaram que a campanha ainda está ativa em cinco extensões do Edge. O Google, por sua vez, já removeu as ferramentas comprometidas.

Pelo que se sabe, duas das cinco extensões que seguem operando no navegador da Microsoft possuem spywares, sendo que a principal delas, chamada WeTab 新标签页, conta com cerca de 3 milhões de instalações. A extensão se passa por uma ferramenta de produtividade para coletar dados dos usuários, tendo acesso ao histórico de navegação completo e monitorando toda atividade realizada no browser.

Considerando que a ShadyPanda consegue operar atualizações automáticas, é possível que a campanha siga comprometendo navegadores, enquanto não forem devidamente removidas pela Microsoft.

Leia também:

• 66 antivírus não pegaram este novo malware que controla seu Android
• Após acusações, Google nega ler seus e-mails do Gmail para treinar IAs
• Nem a autenticação de dois fatores escapa desta nova falha do Android

Fonte: Koi Security