Extensões De Navegador

O grupo hacker DarkSpectre, conhecido por suas campanhas maliciosas, lançou uma nova iniciativa chamada Zoom Stealer, que já afetou mais de 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox. De acordo com a Koi Security, os ataques, que têm origem na China, também incluem as campanhas ShadyPanda e GhostPoster, totalizando mais de 8,8 milhões de vítimas ao longo de sete anos.

As extensões comprometidas, como New Tab - Customized Dashboard e várias ferramentas de download de vídeo, foram projetadas para parecer inofensivas, mas na verdade, escondem códigos maliciosos que podem roubar dados sensíveis, como credenciais de acesso e informações de reuniões online. O ataque Zoom Stealer, em particular, foca no roubo de dados de plataformas de videoconferência, utilizando conexões WebSocket para coletar informações em tempo real.

Especialistas da Zenity Labs alertaram sobre uma nova extensão do Claude, assistente de IA da Anthropic, que opera no Google Chrome e pode expor dados pessoais dos usuários a riscos de segurança. A extensão, que foi lançada em versão beta, permite que a ferramenta interaja com outros sites sem supervisão humana, o que significa que, uma vez instalada, ela pode navegar e realizar ações em plataformas como Google Drive e Slack como se fosse o próprio usuário. Isso levanta preocupações sobre a segurança, pois a extensão permanece conectada continuamente, sem a possibilidade de ser desativada manualmente. Os pesquisadores observaram que a extensão pode acessar informações sensíveis, como tokens de login, e realizar ações prejudiciais, como excluir e-mails ou modificar arquivos, sem o conhecimento do usuário. Além disso, a proteção básica do Claude, que solicita permissão do usuário antes de realizar ações, falha em impedir essas atividades, levando a um cenário de ‘fadiga de aprovação’, onde os usuários clicam em ‘OK’ sem verificar as ações da IA. Essa situação destaca a necessidade urgente de uma revisão das práticas de segurança em relação a extensões de navegador e ferramentas de IA.

Um novo relatório da Koi Security revelou que o ator de ameaças por trás das campanhas de extensões de navegador maliciosas ShadyPanda e GhostPoster também está vinculado a uma terceira campanha chamada DarkSpectre, que impactou 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox. Ao longo de mais de sete anos, essas campanhas afetaram mais de 8,8 milhões de usuários. A ShadyPanda, que visa roubo de dados e fraudes de afiliados, foi identificada como responsável por 5,6 milhões de vítimas, enquanto a GhostPoster foca em usuários do Firefox, injetando códigos maliciosos em ferramentas aparentemente inofensivas. A campanha DarkSpectre, por sua vez, utiliza 18 extensões para coletar informações de reuniões corporativas, como URLs e senhas. As extensões maliciosas foram projetadas para parecer legítimas, acumulando confiança dos usuários antes de ativar comportamentos prejudiciais. A operação está ligada a um ator de ameaças chinês, com indícios de espionagem corporativa e coleta sistemática de inteligência de reuniões.

Uma extensão do Google Chrome chamada Urban VPN Proxy, que possui seis milhões de usuários e é marcada como ‘Destaque’ na loja, foi descoberta coletando silenciosamente dados de usuários que interagem com chatbots de inteligência artificial, como ChatGPT e Microsoft Copilot. Apesar de se apresentar como uma ferramenta de VPN para proteger a identidade online, a versão 5.5.0 da extensão, lançada em julho de 2025, habilitou a coleta de dados de forma padrão. A coleta é realizada por meio de scripts JavaScript que interceptam as conversas dos usuários, capturando prompts, respostas dos chatbots e metadados de sessão, enviando essas informações para servidores remotos. A política de privacidade da Urban VPN menciona que os dados são coletados para melhorar a navegação segura e para fins de marketing, mas não garante a anonimização completa das informações. Além disso, a empresa BIScience, que possui a Urban Cyber Security Inc., é acusada de coletar dados de navegação sob políticas de privacidade enganosas. A situação levanta preocupações sobre a confiança em extensões de navegador e a proteção de dados pessoais, especialmente em um contexto onde os usuários compartilham informações sensíveis com chatbots.

Em dezembro de 2025, pesquisadores de segurança revelaram uma campanha de cibercrime que comprometeu extensões populares dos navegadores Chrome e Edge. O grupo de ameaças conhecido como ShadyPanda passou sete anos publicando ou adquirindo extensões inofensivas, acumulando milhões de instalações antes de transformá-las em malware por meio de atualizações silenciosas. Aproximadamente 4,3 milhões de usuários foram afetados, com as extensões se tornando um framework de execução remota de código (RCE) que permitia o roubo de dados, como cookies de sessão e tokens de autenticação. Essa tática representa um ataque à cadeia de suprimentos de extensões de navegador, onde a confiança do usuário foi explorada. Para as equipes de segurança de SaaS, o incidente destaca a necessidade de uma abordagem integrada entre segurança de endpoints e identidade, já que as extensões podem comprometer contas corporativas sem disparar alarmes de segurança tradicionais. Medidas recomendadas incluem a implementação de listas de permissões de extensões, auditorias regulares e monitoramento de comportamentos suspeitos para mitigar riscos futuros.

Um ator de ameaças conhecido como ShadyPanda está vinculado a uma campanha de spyware que se estende por sete anos, envolvendo extensões de navegador que acumulam mais de 4,3 milhões de instalações. De acordo com um relatório da Koi Security, cinco dessas extensões, inicialmente legítimas, foram alteradas para executar código malicioso em 2024, resultando em 300 mil instalações. Essas extensões agora realizam execução remota de código, monitorando visitas a sites, exfiltrando histórico de navegação e coletando impressões digitais do navegador. Uma das extensões, Clean Master, foi verificada pelo Google, o que permitiu que os atacantes expandissem sua base de usuários e emitisse atualizações maliciosas sem levantar suspeitas. Além disso, outras extensões coletam informações detalhadas sobre URLs visitados e interações do usuário, enviando dados para servidores na China. O ataque evoluiu de injeções de código a controle ativo do navegador, redirecionando consultas de pesquisa e coletando cookies. A Koi Security alerta que o mecanismo de atualização automática, destinado a proteger os usuários, se tornou um vetor de ataque. Os usuários são aconselhados a remover essas extensões imediatamente e a alterar suas credenciais por precaução.

Pesquisadores de cibersegurança revelaram duas campanhas de malvertising que distribuem extensões de navegador falsas para roubar dados sensíveis. A primeira campanha, identificada pela Bitdefender, promove uma extensão chamada SocialMetrics Pro, que promete desbloquear o selo de verificação azul no Facebook e Instagram. No entanto, essa extensão coleta cookies de sessão do Facebook e os envia para um bot no Telegram dos atacantes. Além disso, variantes da extensão utilizam esses cookies para acessar a API do Facebook Graph, potencialmente extraindo informações adicionais das contas.

Pesquisas recentes revelaram que plugins populares de gerenciadores de senhas para navegadores estão vulneráveis a ataques de clickjacking, que podem ser usados para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito. O pesquisador Marek Tóth apresentou essa técnica, chamada de clickjacking baseado em Document Object Model (DOM), durante a conferência DEF CON 33. O ataque ocorre quando um site malicioso manipula elementos da interface de usuário (UI) em uma página da web, tornando-os invisíveis e induzindo o usuário a clicar em áreas aparentemente inofensivas. Isso pode resultar no preenchimento automático de informações sensíveis, que são então enviadas para um servidor remoto. O estudo focou em 11 extensões de gerenciadores de senhas, incluindo 1Password e iCloud Passwords, todas suscetíveis a esse tipo de ataque. Apesar da divulgação responsável, seis fornecedores ainda não corrigiram as falhas. Enquanto isso, recomenda-se que os usuários desativem a função de preenchimento automático e utilizem o método de copiar e colar para proteger suas informações. Para usuários de navegadores baseados em Chromium, é aconselhável configurar o acesso do site para ‘ao clicar’ nas configurações da extensão, permitindo um controle manual sobre a funcionalidade de preenchimento automático.