Koi Security

Um ator de ameaças conhecido como ShadyPanda está vinculado a uma campanha de spyware que se estende por sete anos, envolvendo extensões de navegador que acumulam mais de 4,3 milhões de instalações. De acordo com um relatório da Koi Security, cinco dessas extensões, inicialmente legítimas, foram alteradas para executar código malicioso em 2024, resultando em 300 mil instalações. Essas extensões agora realizam execução remota de código, monitorando visitas a sites, exfiltrando histórico de navegação e coletando impressões digitais do navegador. Uma das extensões, Clean Master, foi verificada pelo Google, o que permitiu que os atacantes expandissem sua base de usuários e emitisse atualizações maliciosas sem levantar suspeitas. Além disso, outras extensões coletam informações detalhadas sobre URLs visitados e interações do usuário, enviando dados para servidores na China. O ataque evoluiu de injeções de código a controle ativo do navegador, redirecionando consultas de pesquisa e coletando cookies. A Koi Security alerta que o mecanismo de atualização automática, destinado a proteger os usuários, se tornou um vetor de ataque. Os usuários são aconselhados a remover essas extensões imediatamente e a alterar suas credenciais por precaução.

A Koi Security, empresa especializada em segurança digital, revelou que a VPN gratuita FreeVPN.One está comprometendo a privacidade de seus usuários ao capturar prints de tela de cada página visitada no navegador Chrome, sem o consentimento dos mesmos. A extensão da VPN, que deveria proteger a privacidade online, na verdade, aguarda o carregamento completo das páginas para garantir que as capturas sejam completas. Segundo a empresa, a justificativa apresentada pela FreeVPN.One para essa prática é a detecção de ameaças através de inteligência artificial, mas isso levanta sérias questões sobre a invasão de privacidade, uma vez que o simples envio do URL da página seria suficiente para identificar potenciais riscos. Além disso, a VPN também registra a localização do usuário por meio do endereço IP, acessando todos os sites visitados. O desenvolvedor da extensão, que se manteve anônimo, alegou que as capturas não são armazenadas permanentemente nem compartilhadas, mas não apresentou provas concretas para respaldar suas afirmações. Essa situação destaca os riscos associados ao uso de VPNs gratuitas, que frequentemente comprometem a segurança e a privacidade dos usuários em troca de serviços aparentemente benéficos.