Campanha de sete anos abusou de extensões com 4,3 milhões de instalações para monitorar navegação, coletar impressões digitais do navegador e executar JavaScript remoto por meio de atualizações confiáveis.
| Componente | Extensões de navegador para Chrome e Microsoft Edge associadas ao operador ShadyPanda, incluindo conjuntos ligados a produtividade, papel de parede, Clean Master e WeTab. |
| Vetor | Atualizações silenciosas de extensões já aprovadas nos marketplaces introduziram busca horária por JavaScript remoto em api.extensionplay[.]com, seguida de execução com permissões do navegador. |
| Impacto | Monitoramento de URLs visitadas, consultas de busca, cliques, comportamento de navegação, impressão digital completa do navegador e envio de histórico criptografado para infraestrutura controlada pelo operador. |
| Prioridade | Remover extensões afetadas ou desnecessárias, auditar permissões em Chrome e Edge, revisar inventário corporativo de extensões e rotacionar credenciais de usuários expostos. |
| Artefatos | Domínios citados no fluxo incluem api.extensionplay[.]com, api.cleanmasters[.]store e redirecionamento de buscas por trovi[.]com. |
| Escala | A campanha acumulou mais de 4,3 milhões de instalações ao longo do tempo; cinco extensões modificadas em 2024 somavam cerca de 300 mil instalações, enquanto outro conjunto ligado ao mesmo publicador chegava a cerca de quatro milhões. |
ShadyPanda foi associado a uma campanha prolongada contra usuários de extensões de navegador, com evolução gradual de complementos aparentemente legítimos para módulos de vigilância. O caso se destaca porque o ponto de entrada não foi phishing, instalação manual de binário desconhecido ou exploração direta de uma falha do navegador. O abuso ocorreu dentro do mecanismo de atualização de extensões, uma cadeia normalmente tratada como confiável por usuários e administradores. Extensões que já tinham histórico de uso e presença em lojas oficiais receberam mudanças posteriores capazes de baixar código JavaScript remoto, executá-lo com acesso ao contexto do navegador e coletar telemetria sensível da navegação.
A atividade descrita envolveu dois conjuntos principais. Um grupo de cinco extensões, algumas operando legitimamente por anos, recebeu alterações maliciosas em meados de 2024 e alcançou cerca de 300 mil instalações antes da remoção. Outro conjunto de cinco complementos do mesmo publicador foi descrito como voltado a acompanhar URLs visitadas, consultas em mecanismos de busca e cliques de usuários, com transmissão de dados para servidores localizados na China. Esse segundo conjunto chegou a aproximadamente quatro milhões de instalações, com WeTab respondendo por cerca de três milhões. A presença anterior de confiança, inclusive com destaque e verificação de uma extensão chamada Clean Master em determinado momento, ampliou a superfície de exposição antes da mudança de comportamento.
O fluxo malicioso começa com a confiança concedida a extensões já instaladas. Em vez de exigir que a vítima instale um novo artefato suspeito, a campanha aproveita a atualização de versões em extensões previamente aceitas. Em meados de 2024, cinco extensões passaram a consultar uma vez por hora o domínio defangado api.extensionplay[.]com para obter um payload JavaScript. Esse código remoto era então executado no ambiente do navegador, criando uma capacidade semelhante a backdoor, porque o operador podia alterar a lógica entregue sem depender de nova interação do usuário.
O JavaScript recuperado foi descrito como capaz de acompanhar cada visita a site e enviar os dados, em formato criptografado, para api.cleanmasters[.]store, junto de uma impressão digital detalhada do navegador. Esse fingerprint pode incluir características úteis para rastrear o mesmo usuário ou sessão entre acessos, mesmo quando a URL isolada não é suficiente para identificação operacional. A campanha também incorporava ofuscação para dificultar análise e adotava uma condição evasiva: quando havia tentativa de abrir as ferramentas de desenvolvedor do navegador, a extensão mudava para comportamento benigno, reduzindo a chance de observação direta por usuários técnicos ou analistas.
O conjunto de capacidades também incluía coleta de sinais de interação com páginas, como tempo de visualização e comportamento de rolagem. Em termos defensivos, isso amplia o problema além de uma simples extensão de rastreamento, porque o operador passa a enxergar contexto de sessão, hábitos de navegação e padrões de uso. O material também descreve capacidade de viabilizar ataques de adversário no meio, com risco de roubo de credenciais, sequestro de sessão e injeção arbitrária de código em sites acessados. Esses impactos dependem das permissões concedidas à extensão, dos sites visitados e da lógica entregue remotamente.
A superfície afetada envolve usuários e organizações que permitiram instalação de extensões de produtividade, personalização ou papel de parede sem controle contínuo de versão, permissões e editor. A campanha também alcançou lojas de Chrome e Microsoft Edge: sinais iniciais foram observados em 2023 com 20 extensões publicadas na Chrome Web Store por um desenvolvedor identificado como nuggetsno15 e 125 extensões no Microsoft Edge por rocket Zhang. Todas foram descritas como aplicativos de papel de parede ou produtividade, uma categoria que tende a receber permissões amplas de navegação sem levantar o mesmo nível de suspeita de uma ferramenta explicitamente sensível.
A exposição não se limita às extensões removidas. O risco operacional está no modelo de confiança: um complemento instalado hoje por uma razão legítima pode receber uma atualização posterior que muda seu comportamento, especialmente quando o marketplace e a organização validam a extensão apenas no momento de submissão ou implantação inicial. O texto também indica que WeTab foi citada como disponível no momento inicial da publicação, mas posteriormente deixou de estar disponível no marketplace de complementos do Edge. Isso reforça a necessidade de inventário local, porque remoção em loja não garante remoção automática em todos os endpoints já expostos.
- Navegadores Chrome e Microsoft Edge com extensões associadas à campanha ShadyPanda.
- Extensões de produtividade, papel de parede e navegação com histórico de instalações e confiança acumulada.
- Usuários com extensões que acessam URLs visitadas, consultas de busca, cliques e conteúdo de páginas.
- Ambientes corporativos sem lista de permissões, bloqueio por editor ou auditoria periódica de extensões instaladas.
A busca defensiva deve combinar inventário de extensões, eventos de rede e telemetria de navegador. Em endpoints, o ponto inicial é identificar extensões instaladas, versões, IDs, editores e permissões concedidas. Extensões com acesso amplo a navegação, conteúdo de páginas ou execução de scripts devem receber prioridade de revisão, principalmente quando pertencem a categorias de baixo valor operacional, como papel de parede, nova aba, produtividade genérica ou limpeza de navegador. A presença de versões instaladas antes da remoção em loja também deve ser tratada como sinal de exposição histórica.
Na rede, a investigação deve procurar comunicação periódica com os domínios defangados api.extensionplay[.]com e api.cleanmasters[.]store, além de padrões de redirecionamento de busca envolvendo trovi[.]com. Como o payload era recuperado de forma recorrente, conexões horárias ou repetitivas a infraestrutura relacionada podem indicar execução ativa. Em logs de proxy, DNS e EDR, também é útil correlacionar consultas a esses domínios com processos de navegador e com mudanças recentes em extensões. O objetivo não é depender de um único IoC, mas confirmar se houve execução de extensão suspeita, coleta de navegação ou alteração de resultados de busca.
- Consultas DNS ou tráfego HTTP(S) para
api.extensionplay[.]comeapi.cleanmasters[.]store. - Redirecionamentos de pesquisa por
trovi[.]comassociados a navegadores de usuários. - Extensões com permissões amplas de leitura ou alteração de páginas visitadas.
- Mudanças recentes de versão em extensões antigas, especialmente de editores pouco conhecidos.
- Eventos de navegação com scripts injetados ou comportamento diferente quando ferramentas de desenvolvedor são abertas.
A resposta deve começar pela remoção das extensões afetadas, desconhecidas ou sem justificativa de negócio. Usuários expostos devem trocar credenciais, especialmente de contas acessadas no navegador durante o período de instalação das extensões suspeitas. A rotação é uma medida prudente porque a campanha foi descrita com capacidade de observar visitas, coletar histórico e apoiar roubo de credenciais ou sessão por meio de manipulação do tráfego e do conteúdo acessado. Sessões ativas em serviços críticos também devem ser invalidadas quando houver evidência de exposição.
Em ambientes corporativos, o controle precisa sair do modelo de confiança individual e passar para política administrada. Administradores devem impor listas de extensões permitidas e bloqueadas, revisar permissões antes de autorizar novas instalações e auditar periodicamente extensões já aprovadas. A atualização do Edge para a versão mais recente, a remoção de extensões não reconhecidas e a revisão de permissões são medidas compatíveis com a resposta descrita. Para Chrome e Edge, a validação deve incluir extensão, editor, versão, data de atualização e necessidade operacional real, não apenas presença em loja oficial.
- Remover imediatamente extensões identificadas como maliciosas ou sem necessidade operacional.
- Revisar e reduzir permissões de extensões que acessam todas as páginas ou dados de navegação.
- Rotacionar credenciais de usuários que utilizaram navegadores com extensões suspeitas instaladas.
- Invalidar sessões de aplicações críticas quando houver indício de exposição de cookies ou sessão.
- Aplicar políticas corporativas de lista de permissões e bloqueio para extensões de navegador.
- Monitorar DNS, proxy e EDR para comunicação com domínios relacionados e para alterações inesperadas de extensões.
0 Comentários