Durante mais de sete anos, uma das campanhas de malware mais complexas e persistentes conseguiu escapar à atenção global dos sistemas de segurança. O grupo responsável, identificado como DarkSpectre, desenvolveu uma infraestrutura sofisticada que permitiu infiltrar-se em navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, comprometendo os dispositivos de 8,8 milhões de utilizadores em todo o mundo. Esta operação, que combinou estratégias de espionagem, fraude financeira e recolha de inteligência corporativa, expõe os riscos que os utilizadores enfrentam ao instalar extensões aparentemente legítimas a partir de lojas oficiais.
Como foi o ataque aos navegadores da web
Investigadores da empresa de cibersegurança Koi.ai revelaram que o DarkSpectre não agiu como uma campanha isolada, mas como uma operação criminosa altamente organizada que lançou pelo menos três campanhas principais e geriu cerca de 300 extensões maliciosas. Essas extensões passaram despercebidas durante anos, conseguindo milhões de instalações e acumulando avaliações positivas nos mercados oficiais, o que facilitou a sua propagação e a confiança dos utilizadores. A legitimidade das extensões, a sua manutenção sustentada durante anos e a sua ativação diferida tornaram esta operação um caso emblemático de ameaças persistentes avançadas.
As campanhas atingiram extensões para Chrome, Edge, Firefox e Opera, impactando tanto usuários individuais quanto organizações e empresas. A campanha ShadyPanda, por exemplo, concentrou seus esforços na manipulação do tráfego de comércio eletrónico e na vigilância em massa, enquanto o GhostPoster se concentrou na entrega sigilosa de cargas maliciosas por meio de navegadores menos vigiados, como Firefox e Opera.
O segmento corporativo, no entanto, tornou-se alvo de uma ofensiva ainda mais preocupante. A campanha Zoom Stealer permitiu que os cibercriminosos recolhessem sistematicamente informações confidenciais sobre reuniões e sessões virtuais em plataformas como Zoom, Microsoft Teams e Google Meet. Os investigadores registaram a presença de extensões maliciosas que se apresentavam como ferramentas de produtividade ou utilitários para vídeo, capazes de extrair dados em tempo real, como links, credenciais, listas de participantes e detalhes de sessões online.
Assim foram as três modalidades de ataque
A operação DarkSpectre baseou-se em três grandes «playbooks» ou estratégias diferenciadas, adaptadas aos objetivos e características de cada plataforma.
- ShadyPanda: vigilância e fraude em grande escala
A campanha ShadyPanda conseguiu infetar 5,6 milhões de utilizadores através de mais de 100 extensões que, durante anos, funcionaram como ferramentas inofensivas (gestores de separadores, tradutores, páginas de novos separadores). Só depois de acumular uma base de utilizadores considerável é que os operadores ativaram funções maliciosas através de atualizações remotas.
Essas extensões começaram a descarregar configurações de servidores de comando e controlo, o que permitia modificar o seu comportamento a qualquer momento, sem a necessidade de atualizações visíveis. Entre as ações maliciosas destacam-se a injeção remota de código para roubar informações confidenciais, o sequestro de resultados de pesquisa, o rastreamento persistente da atividade do utilizador e a substituição de links legítimos por links afiliados fraudulentos em sites de comércio eletrónico como JD.com e Taobao.
- GhostPoster: sigilo e esteganografia
A campanha GhostPoster afetou mais de 1 milhão de utilizadores, principalmente do Firefox e do Opera. Sua técnica mais notável consistia em ocultar código JavaScript malicioso dentro de arquivos de imagem PNG, por meio de esteganografia. Ao ser instalada, a extensão extraía e executava o código oculto, permitindo a execução remota de comandos e a entrega de cargas adicionais. Além disso, a implantação da carga maliciosa podia demorar até 48 horas e ser ativada apenas em uma pequena porcentagem dos utilizadores, o que dificultava ainda mais a sua detecção.
Um dos exemplos mais notórios foi a extensão “Google Translate” para Opera, que instalava um backdoor por meio de um iframe oculto, desativava proteções antifraude e comunicava informações a servidores previamente relacionados a outras campanhas do DarkSpectre.Zoom Stealer: espionagem corporativa e exfiltração em tempo realA campanha mais recente, Zoom Stealer, identificada no final de 2025, representou um salto qualitativo em direção à espionagem corporativa. Ela afetou 2,2 milhões de utilizadores por meio de pelo menos 18 extensões distribuídas no Chrome, Edge e Firefox.Investigadores da Koi.ai detectaram que a exfiltração de informações era feita através de conexões na nuvem e serviços de fachada, comprometendo dados corporativos valiosos. (Imagem ilustrativa Infobae)
Essas extensões, apresentadas como utilitários de produtividade para videochamadas, solicitavam permissões de acesso a mais de 28 plataformas de videoconferência. Uma vez instaladas, elas coletavam automaticamente links de reuniões, credenciais, listas de participantes, nomes, cargos, fotos e outros dados profissionais dos palestrantes e participantes. As informações eram extraídas em tempo real por meio de conexões WebSocket para bases de dados na nuvem, como Firebase, e por meio de serviços aparentemente legítimos que serviam de fachada. Essa operação facilitou o acesso a reuniões corporativas confidenciais e permitiu a construção de uma base de dados com inteligência profissional e comercial de alto valor.
