{"id":13683,"date":"2025-12-02T13:32:02","date_gmt":"2025-12-02T16:32:02","guid":{"rendered":"https:\/\/fenati.org.br\/?p=13683"},"modified":"2025-12-02T15:57:54","modified_gmt":"2025-12-02T18:57:54","slug":"spyware-navegadores-vigia-milhoes-usuarios-anos","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/spyware-navegadores-vigia-milhoes-usuarios-anos\/","title":{"rendered":"Spyware infiltra navegadores e vigia milh\u00f5es de usu\u00e1rios por anos"},"content":{"rendered":"<p><strong>Spyware &#8211;<\/strong> Nesta segunda-feira (1\u00ba), a Koi Security revelou uma opera\u00e7\u00e3o de <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Spyware\" target=\"_blank\" rel=\"noopener nofollow\">spyware<\/a> em larga escala que passou despercebida por mais de sete anos. Batizada de ShadyPanda, a campanha utilizou extens\u00f5es aparentemente inofensivas para Chrome e Edge que, ap\u00f3s conquistarem a confian\u00e7a dos usu\u00e1rios, foram transformadas em ferramentas de espionagem, coleta de dados e fraude. Somadas, essas extens\u00f5es ultrapassam 4,4 milh\u00f5es de downloads.<\/p>\n<p>Segundo o relat\u00f3rio, os primeiros sinais da campanha datam de 2018, quando extens\u00f5es de produtividade e pap\u00e9is de parede foram publicadas sem comportamento suspeito. O objetivo inicial era simples: operar de forma leg\u00edtima para conquistar usu\u00e1rios, boas avalia\u00e7\u00f5es e at\u00e9 selos de \u201cEm Destaque\u201d e \u201cVerificado\u201d.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/ciberataques-dependencia-tecnologica-desafios-2026\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Ciberataques e depend\u00eancia tecnol\u00f3gica est\u00e3o entre principais desafios do Brasil em 2026, alerta Abin<\/strong><\/a><\/p>\n<p>Com o tempo, os operadores do ShadyPanda identificaram brechas no processo de an\u00e1lise do Chrome, que foca na submiss\u00e3o inicial do c\u00f3digo, e n\u00e3o no comportamento ap\u00f3s atualiza\u00e7\u00f5es. Assim, extens\u00f5es confi\u00e1veis passaram a receber updates maliciosos anos depois, j\u00e1 instaladas na m\u00e1quina de milh\u00f5es de pessoas.<\/p>\n<p><strong>Monetiza\u00e7\u00e3o passiva e pequenas fraudes<\/strong><\/p>\n<p>Em 2023, ao menos 145 extens\u00f5es foram usadas para pequenas fraudes, 125 no Edge e 20 no Chrome, quase todas com temas de pap\u00e9is de parede.<\/p>\n<p>O golpe funcionava de forma indireta: sempre que o usu\u00e1rio acessava lojas como Amazon ou eBay, o c\u00f3digo inseria automaticamente links afiliados dos criminosos, garantindo comiss\u00f5es indevidas sem afetar a compra.<\/p>\n<p>Paralelamente, essas extens\u00f5es tamb\u00e9m catalogavam e vendiam dados de navega\u00e7\u00e3o, com apoio do Google Analytics, registrando sites visitados, pesquisas e padr\u00f5es de clique, tudo sem consentimento.<\/p>\n<p><strong>Escalada<\/strong><\/p>\n<p>Em 2024, o ShadyPanda escalou a ofensiva. A extens\u00e3o \u201cInfinity V+\u201d exemplifica essa nova fase:<\/p>\n<p>\u2022 Todas as buscas passaram a ser redirecionadas para o dom\u00ednio malicioso \u201ctrovi.com\u201d;<br \/>\n\u2022 Os termos pesquisados eram vendidos a terceiros;<br \/>\n\u2022 Resultados de busca eram manipulados em tempo real para gerar lucro;<br \/>\n\u2022 Cookies de sites espec\u00edficos eram lidos e enviados para servidores externos;<br \/>\n\u2022 Um ID \u00fanico rastreava o usu\u00e1rio com precis\u00e3o, mesmo ao trocar de dispositivo.<\/p>\n<p><strong>Execu\u00e7\u00e3o remota de c\u00f3digo e backdoors<\/strong><\/p>\n<p>Entre as centenas de extens\u00f5es envolvidas, cinco chamaram a aten\u00e7\u00e3o dos pesquisadores, tr\u00eas delas publicadas ainda em 2018. At\u00e9 meados de 2024, todas funcionaram normalmente e acumularam 300 mil instala\u00e7\u00f5es, at\u00e9 receberem atualiza\u00e7\u00f5es que ativaram um framework de execu\u00e7\u00e3o remota de c\u00f3digo.<\/p>\n<p>Esse backdoor permitia que as extens\u00f5es se conectassem a um servidor a cada hora, recebendo instru\u00e7\u00f5es com acesso total \u00e0 API do navegador, capazes de:<\/p>\n<p>* registrar cada URL acessada e todo o hist\u00f3rico;<br \/>\n* coletar informa\u00e7\u00f5es HTTP que revelam h\u00e1bitos de uso;<br \/>\n* armazenar datas e hor\u00e1rios de atividade;<br \/>\n* capturar identificadores \u00fanicos (UUID4), vinculados \u00e0 conta do Chrome;<br \/>\n* mapear caracter\u00edsticas completas do navegador e sistema.<\/p>\n<p>Al\u00e9m disso, o software se ocultava usando t\u00e9cnicas de ofusca\u00e7\u00e3o para evitar an\u00e1lise \u2014 mas as extens\u00f5es dessa fase j\u00e1 foram desativadas.<\/p>\n<p><strong>Novas extens\u00f5es<\/strong><\/p>\n<p>Em 2025, os operadores voltaram a publicar cinco novas extens\u00f5es, todas ainda ativas na loja do Edge. Juntas, somam mais de 4 milh\u00f5es de instala\u00e7\u00f5es, com destaque para \u201cWeTab New Tab Page\u201d, que sozinha ultrapassa 3 milh\u00f5es de downloads.<\/p>\n<p>Disfar\u00e7ada como ferramenta de produtividade, a WeTab envia dados para 17 dom\u00ednios, incluindo servidores do Baidu, da pr\u00f3pria WebTab e do Google Analytics. Entre as informa\u00e7\u00f5es coletadas est\u00e3o:<\/p>\n<p>* cada URL acessada, em tempo real;<br \/>\n* todas as pesquisas digitadas;<br \/>\n* cada clique do mouse, com precis\u00e3o de pixels;<br \/>\n* idioma, fuso hor\u00e1rio, tipo de navegador e resolu\u00e7\u00e3o de tela;<br \/>\n* comportamento detalhado de navega\u00e7\u00e3o (rolagem, tempo de leitura, perman\u00eancia);<br \/>\n* acesso completo a localStorage, sessionStorage e cookies.<\/p>\n<p>Como evitar extens\u00f5es maliciosas como as da campanha ShadyPanda?<\/p>\n<p><strong>Para reduzir riscos:<\/strong><\/p>\n<p>* trate cada extens\u00e3o como um software de alto acesso aos seus dados;<br \/>\n* verifique o desenvolvedor, avalia\u00e7\u00f5es recentes e hist\u00f3rico de atualiza\u00e7\u00f5es;<br \/>\n* desconfie de complementos com poucas informa\u00e7\u00f5es p\u00fablicas ou que mudaram de nome;<br \/>\n* revise periodicamente sua lista de extens\u00f5es e remova as que n\u00e3o utiliza;<br \/>\n* fique atento a comportamentos estranhos no navegador: redirecionamentos, an\u00fancios at\u00edpicos ou alto consumo de CPU;<br \/>\n* prefira sempre as lojas oficiais do Chrome e Edge, que, embora n\u00e3o infal\u00edveis, possuem mecanismos de verifica\u00e7\u00e3o e remo\u00e7\u00e3o.<\/p>\n<p>A descoberta da campanha ShadyPanda exp\u00f5e como extens\u00f5es podem se transformar silenciosamente em ferramentas de espionagem e refor\u00e7a a necessidade de vigil\u00e2ncia constante por parte dos usu\u00e1rios.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/frankenbit)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Relat\u00f3rio revela que opera\u00e7\u00e3o come\u00e7ou em 2018 e transformou extens\u00f5es populares em ferramentas de fraude<\/p>","protected":false},"author":10,"featured_media":13684,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-13683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=13683"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13683\/revisions"}],"predecessor-version":[{"id":13685,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/13683\/revisions\/13685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/13684"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=13683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=13683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=13683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}