Conjunto ligado a um ator chinês afetou usuários de Chrome, Edge e Firefox com complementos que desviam buscas, fraudam afiliados e coletam dados de reuniões online.
| Componente | Extensões maliciosas ou preparadas para atualização maliciosa em Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, associadas às campanhas ShadyPanda, GhostPoster e The Zoom Stealer. |
| Vetor | Publicação de complementos aparentemente legítimos, com utilitários de produtividade, VPN, tradução, videoconferência e download de mídia, alguns com ativação atrasada ou fase dormente antes da atualização maliciosa. |
| Impacto | Roubo de dados de navegação e reuniões, sequestro de consultas de busca, fraude de afiliados, injeção de rastreamento, fraude de cliques e coleta de inteligência corporativa sobre eventos online. |
| Prioridade | Inventariar extensões instaladas, remover complementos não aprovados, revisar permissões amplas sobre plataformas de reunião e monitorar conexões WebSocket incomuns originadas do navegador. |
| Artefatos | A campanha The Zoom Stealer inclui 18 extensões e nomes que imitam ferramentas para Google Meet, Zoom e GoTo Webinar; exemplos citados incluem aedgpiecagcpmehhelbibfbgpfiafdkm, cphibdhgbdoekmkkcbbaoogedpfibeme e dakebdbeofhmlnmjlmhjdmmjmfohiicn. |
| Atribuição | A ligação com um ator chinês é descrita como baseada em servidores de comando e controle na Alibaba Cloud, registros ICP ligados a províncias chinesas, artefatos de código em chinês e esquemas de fraude voltados a plataformas como JD.com e Taobao. |
A atividade atribuída ao conjunto DarkSpectre envolve três campanhas de extensões de navegador que atingiram, em conjunto, mais de 8,8 milhões de usuários ao longo de mais de sete anos. A descoberta mais recente adiciona uma campanha chamada The Zoom Stealer, avaliada como responsável por impacto direto sobre 2,2 milhões de usuários de Google Chrome, Microsoft Edge e Mozilla Firefox. O padrão operacional combina distribuição por lojas de extensões, aparência funcional legítima e abuso posterior de permissões concedidas pelo usuário para executar coleta de dados, fraude publicitária e vigilância de atividades corporativas no navegador.
O cluster já incluía a campanha ShadyPanda, associada a roubo de dados, sequestro de consultas de busca e fraude de afiliados, com 5,6 milhões de usuários afetados. O conjunto também inclui GhostPoster, mais concentrado em Firefox, com utilitários e ferramentas de VPN aparentemente inofensivos que entregavam JavaScript malicioso para alterar links de afiliados, inserir código de rastreamento e apoiar fraude de cliques e anúncios. A campanha The Zoom Stealer muda o foco para inteligência corporativa, coletando URLs de reuniões com senhas embutidas, IDs de reunião, tópicos, descrições, horários agendados, status de inscrição e dados sobre páginas de registro de webinars.
O fluxo observado depende da confiança acumulada por extensões que entregam alguma funcionalidade visível ao usuário. Em ShadyPanda, uma extensão do Edge chamada New Tab - Customized Dashboard continha uma bomba lógica que aguardava três dias antes de ativar o comportamento malicioso. Esse atraso reduz a chance de detecção durante análise inicial e ajuda o complemento a parecer legítimo no período de revisão. O mesmo modelo aparece em escala maior com 85 extensões descritas como dormentes, benignas no momento da observação, mas posicionadas para ganhar base de usuários e reputação antes de uma atualização maliciosa. Em alguns casos, atualizações nocivas teriam sido introduzidas depois de mais de cinco anos de presença aparentemente regular.
A campanha GhostPoster usa uma abordagem mais orientada a monetização fraudulenta. As extensões se apresentam como utilitários, VPNs ou ferramentas de uso diário e executam JavaScript capaz de interferir em links de afiliados, inserir rastreadores e gerar ações compatíveis com fraude de publicidade. A investigação também identificou complementos adicionais fora do ecossistema principal, incluindo uma extensão de tradução para Opera associada ao desenvolvedor charliesmithbons e com quase um milhão de instalações. Esse dado amplia a superfície de análise para múltiplas lojas e mostra que a investigação não deve ficar limitada ao navegador dominante em ambientes corporativos.
The Zoom Stealer acrescenta uma camada de coleta direcionada. As 18 extensões identificadas atravessam Chrome, Edge e Firefox e imitam ferramentas relacionadas a videoconferência empresarial. Quando o usuário acessa páginas de registro, reunião ou webinar, a extensão procura dados como links com senhas embutidas, identificadores de reunião, descrições, metadados de sessão e status de inscrição. O material também descreve coleta de informações de palestrantes e organizadores, incluindo nomes, cargos, biografias, fotos de perfil, afiliações empresariais, logotipos e imagens promocionais. A exfiltração é feita em tempo real por conexão WebSocket, o que desloca a detecção para telemetria de navegador, proxy, EDR e inspeção de tráfego de saída.
A superfície afetada inclui usuários que instalaram complementos em Chrome, Edge, Firefox e Opera, especialmente quando essas extensões receberam permissões amplas para atuar em sites de reunião, webinar, busca, comércio eletrônico ou mídia social. O risco é maior em ambientes nos quais extensões são instaladas livremente por usuários finais, sem catálogo corporativo aprovado, revisão de permissões ou bloqueio por política. A campanha The Zoom Stealer menciona acesso solicitado a mais de 28 plataformas de videoconferência, incluindo Cisco WebEx, Google Meet, GoTo Webinar, Microsoft Teams e Zoom, mesmo quando a funcionalidade declarada da extensão não justificaria esse alcance.
O impacto não deve ser tratado apenas como fraude ao consumidor. A coleta de links de reunião, senhas embutidas, listas de participantes e metadados de webinars pode dar suporte a espionagem corporativa, personificação, preparação de engenharia social e mapeamento de agendas internas ou eventos externos. Ainda assim, o material não confirma invasão direta de contas, exploração de vulnerabilidade em plataformas de videoconferência ou vazamento de bases corporativas; o limite técnico confirmado é o abuso de extensões instaladas para observar e transmitir dados acessíveis ao navegador.
- Usuários de Chrome, Edge, Firefox e Opera com extensões ligadas aos clusters ShadyPanda, GhostPoster ou The Zoom Stealer.
- Ambientes corporativos que permitem instalação autônoma de extensões sem lista de aprovação, revisão periódica ou controle por política.
- Contas que acessam páginas de reunião, registro de webinar, links com senha embutida e sessões de plataformas como WebEx, Google Meet, GoTo Webinar, Teams e Zoom.
- Extensões dormentes que hoje parecem benignas, mas possuem base instalada, reputação ou histórico suficiente para receber atualização maliciosa posterior.
A investigação defensiva deve começar por inventário de extensões, correlacionando nome, ID, desenvolvedor, permissões solicitadas, data de instalação, versão e histórico de atualização. Em endpoints gerenciados, a equipe deve procurar complementos relacionados a videoconferência, tradução, nova aba, VPN, download de gravações, download de fotos ou download de vídeos que tenham permissão sobre múltiplos domínios não relacionados à função declarada. A presença de IDs como aedgpiecagcpmehhelbibfbgpfiafdkm, cphibdhgbdoekmkkcbbaoogedpfibeme, dakebdbeofhmlnmjlmhjdmmjmfohiicn e ifklcpoenaammhnoddgedlapnodfcjpn deve ser usada como ponto de partida, não como lista completa.
No tráfego de rede, a telemetria relevante inclui conexões WebSocket originadas por processos de navegador logo após acesso a páginas de reunião ou registro de webinar. Como o material descreve comando e controle hospedado em Alibaba Cloud, conexões persistentes ou incomuns para infraestrutura nessa nuvem, quando partem de extensões ou ocorrem durante uso de plataformas de reunião, merecem triagem. Esse sinal não é suficiente para atribuição isolada, porque serviços legítimos também podem operar em nuvens públicas, mas ajuda a priorizar análise quando combinado com extensão suspeita, permissão excessiva e acesso recente a dados de reunião.
Em camadas de identidade e colaboração, os sinais mais úteis são acessos anômalos a reuniões, tentativas de entrada por links antigos, inscrições inesperadas em webinars e mensagens de engenharia social que referenciam detalhes internos de agenda, participantes ou tópicos. A defesa também deve revisar logs de proxy, DNS, EDR e inventário de navegador para identificar extensões que alteram páginas de busca, manipulam links de afiliados ou injetam scripts em páginas de comércio eletrônico e publicidade.
- Extensões com permissões amplas sobre plataformas de videoconferência sem justificativa funcional clara.
- Atualizações recentes em extensões antigas, especialmente após longo período de comportamento aparentemente benigno.
- Conexões WebSocket persistentes iniciadas pelo navegador durante acesso a páginas de reunião, webinar ou registro.
- Alterações de busca, redirecionamento de afiliados, injeção de rastreamento ou cliques publicitários fora do padrão do usuário.
- Tráfego para infraestrutura em nuvem pública incomum quando associado a extensão suspeita e coleta de dados de reunião.
A resposta deve priorizar governança de extensões. Organizações devem bloquear instalação livre, manter lista de complementos aprovados e revisar permissões por função de negócio. Extensões que solicitam acesso a vários serviços de reunião, comércio eletrônico ou busca sem necessidade operacional devem ser removidas ou isoladas para análise. Em navegadores corporativos, políticas gerenciadas podem impedir instalação fora do catálogo aprovado, fixar versões autorizadas e registrar mudanças de extensão em telemetria centralizada.
Para ambientes já expostos, a contenção começa pela remoção das extensões identificadas, coleta de evidências do endpoint e revisão de tráfego recente. Links de reunião com senha embutida que possam ter sido acessados por navegadores afetados devem ser revogados ou recriados, especialmente quando associados a reuniões sensíveis, webinars privados ou eventos com participantes externos. A equipe também deve revisar convites, inscrições e listas de presença para detectar uso indevido de metadados coletados. Como a atividade envolve possíveis extensões dormentes, a mitigação não termina com os IDs conhecidos: é necessário avaliar padrões de permissão, histórico de desenvolvedor e atualização de complementos em toda a frota.
A atribuição a infraestrutura e artefatos chineses deve orientar priorização de inteligência, mas não substituir evidência local. O procedimento defensivo mais consistente é combinar inventário de extensões, logs de navegador, rede e identidade para confirmar onde houve exposição real. Depois da remoção, a organização deve reforçar treinamento sobre instalação de complementos, auditar exceções concedidas a usuários privilegiados e monitorar tentativas de reinstalação ou substituição por extensões com nomes semelhantes.
- Aplicar política corporativa de lista de aprovação para extensões em Chrome, Edge, Firefox e Opera.
- Remover complementos suspeitos e preservar metadados de instalação, versão, permissões, desenvolvedor e horário de atualização.
- Revogar ou recriar links de reunião e webinar acessados a partir de navegadores com extensões suspeitas.
- Monitorar WebSocket, DNS, proxy e EDR para tráfego de saída associado a extensões e páginas de reunião.
- Revisar periodicamente extensões antigas com boa reputação, pois a campanha descreve armamento por atualização tardia.
0 Comentários