- LayerX encontrou 17 extensões de navegador maliciosas com mais de 840.000 downloads
- Extensões sequestraram links afiliados, injetaram rastreamento e permitiram fraude publicitária
- Todas as extensões foram removidas, mas os usuários devem desinstalá-las manualmente
Os pesquisadores de segurança LayerX descobriram 17 extensões para os navegadores Chrome, Firefox e Edge que monitoravam a atividade das pessoas na Internet e instalavam backdoors para acesso persistente. No total, as extensões foram baixadas mais de 840 mil vezes.
Esta não é uma campanha nova. Na verdade, LayerX afirma que esta é a continuação de Pôster Fantasmauma campanha descoberta pela primeira vez pela Koi Security em meados de dezembro de 2025.
Naquela época, os investigadores encontraram um conjunto diferente de 17 extensões, baixadas cumulativamente 50.000 vezes, que faziam a mesma coisa – monitorar comportamento e instalar backdoors.
Pôster Fantasma
Aqui está a lista completa de todos descobertos extensões:
Google Traduzir com o botão direito
Traduza o texto selecionado com GoogleAds Block Ultimate
Player Flutuante – Modo PiP
Converta tudo
Baixar Youtube
Tradução de uma chave
Bloqueador de anúncios
Salvar imagem no Pinterest com o botão direito
Baixador do Instagram
Feed RSS
Cursor legal
Captura de tela de página inteira
Histórico de preços da Amazon
Intensificador de cores
Traduzir o texto selecionado com o botão direito
Clipper de captura de tela da página
Entre esse novo lote estão algumas extensões que foram carregadas pela primeira vez em 2020, o que significa que as pessoas foram expostas a malware em repositórios oficiais de navegadores durante anos. A loja do Edge parece ser o lugar onde a maioria dessas extensões apareceu pela primeira vez, expandindo-se posteriormente para o Chrome e Firefox também.
Algumas das extensões armazenam código JavaScript malicioso no logotipo PNG. O código serve como instruções sobre como baixar a carga principal de um servidor remoto. Para dificultar a detecção e atribuição, os invasores fizeram com que as extensões baixassem a carga principal em 10% das vezes.
A carga útil principal pode fazer todo tipo de coisa. Em primeiro lugar, ele sequestra links afiliados nos principais sites de comércio eletrônico – roubando dinheiro diretamente dos criadores de conteúdo.
Em seguida, ele injeta o rastreamento do Google Analytics em cada página que o usuário visita e remove os cabeçalhos de segurança de todas as respostas HTTP.
Finalmente, ele pode ignorar o CAPTCHA usando três mecanismos separados e pode injetar iframes invisíveis, usados principalmente para fraude publicitária, fraude de cliques e rastreamento. Esses iframes se autodestroem após aproximadamente 15 segundos.
Entretanto, todas as extensões foram removidas dos seus respetivos repositórios, mas os utilizadores ainda são aconselhados a removê-las dos seus navegadores.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.