Extensões maliciosas ocasionalmente chegam à Chrome Web Store (e bibliotecas semelhantes em outros navegadores) fazendo-se passar por complementos legítimos. Eles são particularmente difíceis de detectar quando são benignos, e só se transformam em malware depois de ganhar a confiança do usuário.
Foi o que aconteceu com uma série de extensões no Google Chrome e no Microsoft Edge: pesquisadores da Koi Security identificaram complementos em ambos os navegadores que operaram legitimamente por vários anos antes de receberem atualizações maliciosas que permitiam que hackers vigiassem usuários e coletassem e exfiltrassem dados confidenciais. O esquema, conhecido como ShadyPanda, atingiu quatro milhões de downloads e segue ativo no Edge.
Os atores da ameaça realizaram uma campanha semelhante visando o Firefox no início deste ano: eles obtiveram aprovação para extensões benignas que imitavam carteiras criptográficas populares, acumularam downloads e análises positivas e, em seguida, injetaram nos complementos código malicioso capaz de registrar entradas de campos de formulários, que eles usaram para acessar e roubar ativos criptográficos.
Extensões de navegador podem ficar ruins
Conforme descreve a Koi Security, o ShadyPanda começou como um golpe de afiliado, com 145 extensões disfarçadas de papel de parede e aplicativos de produtividade nos dois navegadores. A fase inicial injetou códigos de rastreamento de afiliados e pagou comissões com cliques no eBay, Amazon e Booking.com e depois evoluiu para sequestrar e manipular resultados de pesquisa antes de lançar as cinco extensões em 2018 que mais tarde seriam convertidas em malware.
Esses complementos foram marcados como Em destaque e verificados no Chrome – um deles, um limpador de cache conhecido como Clean Master, obteve uma classificação de 4,8 em milhares de avaliações. As extensões foram atualizadas em 2024 para executar malware que poderia verificar novas instruções de hora em hora e manter acesso total ao navegador, alimentando informações aos servidores do ShadyPanda. (Eles já foram removidos do Chrome.)
Os hackers lançaram cinco extensões adicionais, incluindo WeTab, para o Edge em 2023. Duas são spyware abrangentes e todas ainda estavam ativas no relatório de Koi.
O que você acha até agora?
Como encontrar extensões maliciosas no Chrome e Edge
Infelizmente, as extensões maliciosas geralmente fingem ser outra coisa, portanto, uma rápida verificação visual das extensões instaladas pode não revelar um problema. Nesse caso, a Koi Security possui uma lista de IDs de extensão associados à campanha ShadyPanda e você terá que procurá-los um por um.
No Chrome, digite cromo://extensões/ na sua barra de endereço e clique Digitar. Ativar Modo de desenvolvedor no canto superior direito para revelar os IDs das extensões instaladas. A partir daqui, você pode copiar e colar cada ID na barra de pesquisa (Ctrl+F no seu PC ou Comando+F no seu Mac). Se não houver resultados, seu navegador está seguro. Se você encontrar um complemento malicioso, clique no botão Remover botão. No Edge, siga o mesmo processo de edge://extensões/.
Embora esta campanha mostre que as extensões podem ser transformadas em armas muito depois de terem sido instaladas, você ainda deve seguir as práticas recomendadas para avaliar complementos do navegador, assim como faria com os aplicativos para o seu dispositivo. Verifique o nome com cuidado, pois as extensões fraudulentas geralmente têm nomes quase idênticos aos confiáveis. Revise a descrição em busca de sinais de alerta, como erros ortográficos e imagens não relacionadas. Se você vir muitas avaliações positivas em um curto espaço de tempo sobre uma nova extensão, ou se eles parecerem estar revisando algo totalmente diferente, proceda com cautela. Você também pode fazer pesquisas adicionais, como uma pesquisa no Google ou Reddit, para ver se a extensão é legítima.
