Uma campanha de longa duração, atribuída ao grupo conhecido como ShadyPanda, utilizou extensões de navegador disfarçadas para comprometer milhões de usuários no Google Chrome e Microsoft Edge. Segundo análise recente, os atacantes conseguiram infiltrar 145 extensões maliciosas, que, juntas, somam mais de 4,3 milhões de instalações.
A operação funcionava de forma silenciosa e altamente persistente. Inicialmente, os plugins eram enviados às lojas oficiais como ferramentas legítimas. Após conquistarem uma base de usuários, os operadores da campanha enviavam atualizações contendo código malicioso, convertendo os plugins em backdoors sem que os usuários percebessem. As extensões comprometidas eram capazes de capturar dados de navegação, interceptar credenciais, redirecionar tráfego e injetar anúncios, além de estabelecer comunicação contínua com servidores de comando e controle (C2) por meio de técnicas de disfarce. Em muitos casos, os domínios maliciosos usados para o C2 imitavam serviços de nuvem legítimos. Um aspecto alarmante da campanha foi sua longevidade e alcance global.
Usuários afetados se espalham por diversas regiões, com foco em países das Américas, Europa e Sudeste Asiático. A maioria das vítimas não apresentou sintomas visíveis, o que permitiu que a operação seguisse ativa por meses sem ser detectada. A investigação indica que os operadores modificaram os arquivos manifest.json das extensões, ativando permissões adicionais apenas após determinadas condições serem atendidas, um método que dificultava a detecção durante a análise inicial.
