Um ciberataque que explorou extensões maliciosas para o Chrome e o Microsoft Edge afetou milhões de usuários ao longo de mais de sete anos. A campanha, apelidada de ShadyPanda, começou de forma discreta com extensões de produtividade e temas de papéis de parede que, com o tempo, foram modificadas para espionar dados sensíveis e redirecionar buscas. Estima-se que essas extensões tenham sido baixadas mais de 4,4 milhões de vezes antes de serem identificadas e removidas.
Pesquisadores da Koi Security destacaram a gravidade e a persistência do ataque, que visava dados dos usuários sem o seu consentimento, coletando hábitos de navegação, pesquisas realizadas e cliques. A campanha evoluiu para um funcionamento mais furtivo, com as extensões se tornando ferramentas de espionagem sem que os usuários percebessem.
Inicialmente, ShadyPanda operava com tarefas aparentemente inofensivas, como oferecer temas de papéis de parede. A estratégia foi bem-sucedida: as extensões ganharam a confiança dos usuários e chegaram a ostentar selos de “Em Destaque” e “Verificado” nas lojas oficiais do Chrome e Edge, o que dificultou a detecção inicial, já que as análises do navegador focavam no código submetido, não no comportamento pós-instalação.
Ao serem instaladas, as extensões começaram a gerar monetização passiva, inserindo links de afiliados em sites como eBay ou Amazon, recebendo comissões por compras, sem prejudicar o consumidor diretamente. Paralelamente, passaram a coletar informações de navegação—sites visitados, palavras-chave usadas e padrões de clique—e a vendê-las, com dados processados por meio do Google Analytics sem o conhecimento dos titulares.
Em 2024, a tática se intensificou: a extensão Infinity V+ foi atualizada para permitir invasão remota dos navegadores, redirecionando buscas para o site maligno trovi.com e manipulando resultados para lucrar com as ações dos criminosos. Além disso, os invasores criaram um ID único para cada usuário, facilitando a construção de perfis detalhados de hábitos online e a vigilância contínua.
Entre as centenas de extensões fraudulentas, cinco se destacaram pela capacidade de executar código remotamente, atuando como backdoors. A persistência foi mantida por meio de técnicas de ofuscação, tornando a detecção pelos pesquisadores difícil por meses. Felizmente, as extensões maliciosas foram removidas das lojas oficiais, embora a WeTab New Tab Page, com mais de 3 milhões de downloads, permaneça ativa no Edge e ainda represente uma ameaça. A recomendação permanece: instalar apenas extensões de fontes confiáveis e manter auditorias regulares para evitar surpresas como essa.
