Os especialistas em segurança da Koi Security expuseram uma nova campanha de spyware que assusta milhões de utilizadores. Este esquema visa transformar extensões que pareciam inofensivas numa séria ameaça à segurança dos utilizadores.
Conhecido como ShadyPanda, esta campanha evoluiu ao longo dos anos para se tornar cada vez mais sofisticada. A fonte reporta que foram adulteradas extensões para o Chrome e para o Edge e que o número total de utilizadores que descarregaram essas extensões ascenda aos 4,3 milhões.
Esquema de adulteração de extensões para o Chrome e Edge terá começado em 2018
A Koi Security estima que o esquema ShadyPanda tenha começado a adulterar extensões em 2018. Contudo, ela refere que os primeiros sinais de comportamentos maliciosos manifestaram-se apenas cinco anos depois.
Em causa estão cerca de 20 extensões para o Chrome e 125 para o Edge que se posicionam como wallpapers ou extensões de produtividade. Podes ver a lista completa das extensões comprometidas no final do artigo partilhado pela fonte, mas as mais famosas são Clean Master, WeTab e Infinity V+.
Como algo legítimo evolui para algo malicioso
A fonte informa que as extensões visadas chegaram às respetivas lojas como software legítimo. Ou seja, quando foram lançadas para o mercado elas não apresentavam nenhum comportamento malicioso e cumpriam com os seus objetivos.
Contudo, este esquema fraudulento evoluiu de forma faseada, transformando lentamente estas extensões em ameaças à segurança dos utilizadores. Os autores deste esquema usaram os mecanismos de atualizações automáticas para injetar código malicioso.
Todas as extensões visadas começaram com uma boa reputação. No entanto, diversas atualizações ao longo dos anos introduziram backdoors que permitem a execução remota de código e até de JavaScript que possibilita o acesso total ao browser.
Numa primeira fase, o objetivo era injetar códigos de rastreio em ligações legítimas para recolher recompensas de compras feitas pelos utilizadores. Numa fase mais avançada, evoluiu para a recolha de dados pessoais das vítimas.
Com efeito, o ShadyPanda é capaz de recolher informações como histórico do browser, teclas pressionadas, cookies, dados de impressões digitais ou dados de sessão. Pior ainda é o seu elaborado mecanismo que lhe permite roubar credenciais de acesso.
Google já as removeu, mas ainda há uma ativa no Edge
A notícia positiva neste relato é que a Google já removeu todas as extensões maliciosas da sua web store. No entanto, a Koi Security informa que a loja do Edge continua a listar uma das extensões maliciosas com cerca de 3 milhões de instalações.
Se instalaste algumas destas extensões no teu browser, o conselho é para a removeres imediatamente. Ademais, deves redefinir as tuas credenciais de acesso aos vários serviços online que usas para garantir a tua segurança e a dos teus dados.
Promoção do dia
