Extensões do Chrome viram espiãs: 4 milhões infectados em 7 anos!

Fraudes iniciais pavimentam o caminho

Em 2023, cerca de 145 extensões, a maioria no Edge, entraram em ação com truques sutis. Elas inseriam links de afiliados em sites como Amazon e eBay, garantindo comissões ilegais para os criminosos sem alertar as vítimas. Ao mesmo tempo, vendiam históricos de navegação via Google Analytics, lucrando com padrões de cliques e buscas pessoais.

O que parecia uma jogada menor escondeu o verdadeiro plano. Usuários clicavam achando que estavam seguros, enquanto seus hábitos eram mapeados. Essa fase gerou confiança e volume: imagine milhões de dados anônimos virando ouro para os hackers.

No início de 2024, o tom mudou para agressivo. Extensões como "Infinity V+" redirecionavam buscas para sites maliciosos como trovi.com, manipulando resultados em tempo real e roubando termos digitados. Cookies de login eram enviados para servidores remotos, abrindo portas para roubos de identidade.

Leia Também

Mundo

Gigantes pré-históricos emergem no deserto: arte rupestre de 12 mil anos muda história humana

Megatúnel

Trem submarino que vai viajar sob o oceano e conectar Espanha e Marrocos em 40 minutos

Backdoors ativados e controle remoto

Cinco extensões antigas, com 300 mil instalações, receberam atualizações fatais em meados de 2024. Elas criaram um "framework" que checava servidores a cada hora, baixando e executando códigos JavaScript com acesso total ao navegador. Isso é um backdoor clássico: porta aberta para ransomware ou espionagem profunda.

Os dados coletados eram impressionantes e aterrorizantes:

• Histórico completo de URLs e navegação criptografada;
• Detalhes do dispositivo, como resolução de tela, idioma e fuso horário;
• Identificadores únicos (UUID4) que rastreiam você em qualquer aparelho;
• Informações HTTP para perfis comportamentais precisos.

Códigos ofuscados enganavam análises, e o malware se disfarçava ao detectar ferramentas de desenvolvedor. Felizmente, essas cinco foram removidas, mas o estrago já estava feito.

Novo ciclo de ataques em 2025

Ainda em 2025, cinco novas extensões no Edge, incluindo a "WeTab New Tab Page" com 3 milhões de downloads, assumiram o controle. Elas monitoram cliques de mouse em pixels exatos, tempo de permanência em páginas e até rolagens de tela. Tudo vai para 17 domínios, muitos ligados a servidores chineses via Baidu.

Dados roubados: do clique ao perfil completo

Pense no que isso significa no dia a dia. Toda pesquisa, todo login em banco ou rede social, vira mercadoria. A WeTab lê localStorage, sessionStorage e cookies, expondo senhas salvas e sessões ativas. É vigilância total, pior que câmeras em casa.

Essa persistência vem da falha sistêmica: atualizações automáticas, pensadas para segurança, viram vetores de ataque. Criminosos exploram a confiança nas lojas do Google e Microsoft, que não monitoram pós-aprovação.

Especialistas da Koi Security, que destrincharam o caso, alertam: ShadyPanda não é amador. O grupo evoluiu de fraudes leves para RCE (execução remota de código), provando paciência letal no cibercrime.

Como se blindar

Você pode estar infectado agora mesmo. Verifique suas extensões: remova as desnecessárias e priorize desenvolvedores conhecidos. Sinais de alerta incluem redirecionamentos estranhos, CPU alta ou anúncios invasivos.

Aqui vão passos práticos para proteção imediata:

• Audite extensões semanalmente no Chrome (chrome://extensions/) ou Edge;
• Leia permissões: fuja de apps pedindo acesso total sem motivo;
• Use listas de bloqueio em empresas e atualize navegadores sempre;
• Prefira lojas oficiais, mas desconfie de mudanças repentinas de nome ou atualizações.

Empresas devem impor políticas de allow-list, limitando installs a apps aprovados. O relatório da Koi reforça: sem monitoramento contínuo, milhões seguem vulneráveis.

O alerta final

Essa saga expõe a fragilidade da web cotidiana. Usuários comuns viram alvos de uma guerra silenciosa, onde um clique inocente em 2018 ainda ecoa em 2025. Fique atento, revise agora e compartilhe: sua privacidade depende disso. O próximo update malicioso pode ser amanhã.