Campanha de 7 anos do ShadyPanda infecta 4,3 milhões de usuários do Chrome e Edge

Campanha de 7 anos do ShadyPanda infecta 4,3 milhões de usuários do Chrome e Edge

Uma campanha de sete anos de extensão de navegador já infectou 4,3 milhões de usuários do Chrome e do Edge.

O grupo responsável, rastreado como ShadyPanda, tem sido observado aproveitando mercados de navegadores confiáveis para construir bases de usuários, operar legitimamente por anos e depois implementar atualizações maliciosas silenciosamente.

Uma nova Segurança Koi relatório identificou uma backdoor de execução remota de código que afetava 300.000 usuários em cinco extensões, incluindo o Clean Master.

Essas extensões operavam normalmente desde 2018, até que uma atualização em meados de 2024 permitiu downloads horários de JavaScript arbitrário. O malware registrou visitas ao site, exfiltrou históricos de navegação criptografados e coletou impressões digitais completas do navegador.

Enquanto isso, uma operação paralela de spyware alcançou mais de 4 milhões de usuários por meio de cinco extensões adicionais da Microsoft Edge, sendo a mais notável a WeTab, que sozinha já representou 3 milhões de instalações.

Essas extensões coletavam todas as URL visitadas, termos de busca, cliques do mouse e vários identificadores de navegador, com tráfego roteado para servidores na China.

Origens e Estratégias de Longevidade

Os primeiros esforços do ShadyPanda datam de 2023, quando o ator ameaçador lançou 145 extensões de navegador disfarçadas de papel de parede ou ferramentas de produtividade.

Esses complementos injetavam códigos de afiliado em vários sites de compras e usavam o Google Analytics para perfilar o comportamento dos usuários. Pesquisadores de koi disseram que a campanha revelou três lições que ShadyPanda exploraria depois:

  • Monitoramento limitado pós-aprovação

  • Alta confiança em extensões com forte número de instalações.

  • Vantagens obtidas por meio da legitimidade de longo prazo

Leia mais sobre segurança de extensões de navegador: Pesquisadores revelam 18 extensões maliciosas do Chrome e Edge disfarçadas de ferramentas do dia a dia

No início de 2024, o grupo migrou para a manipulação agressiva dos navegadores. Uma extensão, Infinity V+, redirecionava buscas por um sequestrador conhecido, colhia cookies e transmitia pressionamentos de tecla para servidores externos.

Embora muitas dessas extensões tenham sido removidas em poucas semanas, o ShadyPanda continuou desenvolvendo suas estratégias de ataque.

Pesquisadores de koi atribuem a longevidade do ShadyPanda a uma lacuna consistente nos processos de revisão de extensões.

“O ShadyPanda provou que os marketplaces ainda revisam extensões da mesma forma que faziam há sete anos – análise estática na submissão, confiança após aprovação, sem monitoramento contínuo. A Clean Master operou legalmente por cinco anos. Análise estática não detectaria isso.”

Para se defender contra ameaças semelhantes, recomenda-se que os indivíduos auditem rotineiramente as extensões instaladas no navegador, removam ferramentas que não utilizam mais e favoreçam desenvolvedores com histórico de atualizações transparentes.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.