Pesquisadores da Koi Security revelaram detalhes de uma extensa campanha de malware que afetou mais de 4,3 milhões de usuários tanto do Google Chrome quanto do Microsoft Edge ao longo de sete anos. Esse esquema, denominado ShadyPanda, comprometeu navegadores por meio de extensões de produtividade aparentemente legítimas. Infiltrando-se silenciosamente, esta operação conseguiu passar despercebida quase por uma década, o que levantou questões sobre a eficácia das verificações em lojas de aplicativos de navegadores.
O fenômeno se destaca por ter conseguido introduzir extensões até mesmo aprovadas pelo Google, o que aumentou o alcance e a confiança entre os usuários. Ao todo, cerca de 145 extensões foram comprometidas, com 20 atuando no Chrome e 125 no Edge, demonstrando o quão difundido e sofisticado foi o ataque. Este episódio foi uma questão significativa de segurança pela maneira como conseguiu violar o escrutínio típico de extensões em plataformas de navegação.
A operação ShadyPanda teve início em 2018, utilizando-se de brechas em lojas de extensões que, embora realizem uma verificação inicial, não monitoram de forma eficaz as atualizações posteriores dos aplicativos. No início, as extensões adulteradas eram vinculadas a tarefas de gestão, enganando assim um grande número de usuários. A distribuição acontecia através de atualizações automáticas legítimas dos navegadores, o que tornava ainda mais difícil a identificação da ameaça.
Com o passar dos anos, a campanha expandiu suas atividades, ficando mais notória quando começou a realizar fraudes mais sofisticadas, como injetar códigos de rastreio em gigantes do comércio eletrônico como Amazon e eBay. Em 2024, o panorama se tornou ainda mais complexo, com a campanha evoluindo para a obtenção de controle ativo dos navegadores. Um exemplo é a extensão chamada Infinity V+, uma suposta ferramenta de produtividade que, na realidade, sequestrava dados de pesquisa e realizava a exfiltração de cookies, expondo informações sensíveis dos usuários.
Outro fator preocupante foi que algumas dessas extensões comprometidas receberam atualizações funcionais como backdoors, permitindo a implementação de códigos maliciosos remotamente. Mesmo após a revelação da campanha, os seus vestígios permanecem ativos, especialmente em cinco extensões do Edge. O Google já tomou medidas para remover as ferramentas comprometidas em seu navegador, embora ainda exista resistência. Entre as extensões ainda ativas, destaca-se a WeTab 新标签页, que se disfarça de ferramenta de produtividade, mas na verdade integra spywares com capacidade de acessar completamente o histórico de navegação e monitorar todas as atividades do usuário no browser.
Sendo capazes de operar por meio de atualizações automáticas, as extensões da ShadyPanda ainda representam uma ameaça para navegadores até que as versões comprometidas sejam completamente removidas pela Microsoft. Esses eventos desencadeiam discussões importantes sobre a segurança digital e a necessidade de melhorias nos sistemas de verificação e monitoramento de extensões em navegadores populares.
