Extensões de download de vídeo escondem malware que espiona você; veja quais

Por Lillian Sibila Dala Costa • Editado por Jones Oliveira | 07/01/2026 às 08:20

Compartilhe:

O grupo hacker DarkSpectre, responsável pelas campanhas maliciosas contra extensões de navegador ShadyPanda e GhostPoster foi detectado como o responsável por uma terceira iniciativa, chamada Zoom Stealer, que já impactou mais de 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox.

Segundo a empresa de cibersegurança Koi Security, os agentes criminosos atacam a partir da China: juntas, as três campanhas juntaram mais de 8,8 milhões de vítimas, feitas ao longo de sete anos. A iniciativa ShadyPanda foi descoberta pela mesma companhia ainda em dezembro de 2025, afetando 5,6 milhões de usuários.

Extensões afetadas pelos hackers

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Continua após a publicidade

No ataque ShadyPanda, uma das extensões infectadas foi a popular New Tab - Costumized Dashboard, que ficava incubada por três dias antes de atacar. Nove das extensões afetadas ainda estão ativas, com 85 ainda “dormentes”, que aparentam ser inofensivas, mas atacam após atualizações maliciosas. Em alguns casos, a ferramenta só recebeu o conteúdo hacker após cinco anos de funcionamento normal.

Já a campanha GhostPoster focou em usuários de Firefox, principalmente extensões simples e ferramentas de VPN, contendo código JavaScript que roubava links afiliados, injetava código de rastreamento e fraudes de anúncios. A terceira campanha do grupo, Zoom Stealer, afetou 18 extensões no Chrome, Edge e Firefox, focando no roubo de dados de aplicativos de reunião, num esforço de inteligência corporativa.

Confira as extensões afetadas e seus IDs nas lojas, começando com o Google Chrome:

Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp);
ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep);
X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha);
Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga);
Zoom.us Always Show "Join From Web" (aedgpiecagcpmehhelbibfbgpfiafdkm);
Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf);
CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo);
GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme);
Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai);
Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn);
Mute All on Meet (adjoknoacleghaejlggocbakidkoifle);
Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj);
Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn);
Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl);
Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi).

Já no Microsoft Edge, a única extensão afetada foi a Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj), enquanto o Firefox teve as extensões Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}) e x-video-downloader (xtwitterdownloader@benimaddonum.com. O plano dos hackers era o de coletar links, credenciais e listas de participantes através de uma conexão WebSocket em tempo real.

O roubo de dados corporativos foi feito ao requisitar acesso a mais de 28 plataformas de vídeoconferência, como WebEx, Meet, Webinar, Teams e Zoom, vendendo tudo para atores maliciosos, que usam as informações para engenharia social e operações de falsidade ideológica. Foram usados servidores de comando e controle (C2) como Alibaba Cloud e provedores chineses como Hubei. Segundo a Koi Security, é provável que mais extensões estejam apenas esperando para agir e roubar dados.

Confira também no Canaltech:

Continua após a publicidade

Esquenta CES: o que esperar da maior feira de tecnologia do mundo

Fonte: Koi Security