DarkSpectre: campanha atlética infectou 8,8 milhões via extensões de browsers

Pesquisadores atribuem três operações — ShadyPanda, Zoom Stealer e GhostPoster — a um único ator chamado DarkSpectre, que teria infectado cerca de 8,8 milhões de usuários por meio de extensões de navegador. A técnica inclui "time‑bombs", esteganografia e infraestrutura compartilhada, dificultando detecção e remoção.

Relatórios de pesquisa associam três campanhas distintas a um único ator — chamado DarkSpectre — que teria comprometido aproximadamente 8,8 milhões de usuários por meio de extensões maliciosas para Chrome, Edge e Firefox.

Descoberta e escopo

Analistas da Koi e pesquisadores consultados pelos veículos identificaram que as operações ShadyPanda (≈5,6M vítimas), Zoom Stealer (≈2,2M) e GhostPoster (≈1,05M) compartilham infraestrutura e técnicas, levando à conclusão de que se trataria de uma única organização com alta capacidade operacional. A investigação revelou mais de 100 extensões conectadas entre si em múltiplos marketplaces.

Métodos de persistência e evasão

O ator emprega extensões "time‑bomb" que permanecem inativas por dias, ativando o payload somente após passar pela revisão das lojas. Além disso, a ativação ocorre em uma fração limitada de carregamentos de página (cerca de 10%), reduzindo a chance de detecção. Técnicas de esteganografia também foram observadas: código JavaScript escondido dentro de imagens PNG é extraído e executado no cliente.

Evidências técnicas

A campanha usa domínios legítimos para features aparentes (por exemplo, infinitynewtab.com) que também servem, em paralelo, comandos e controles maliciosos. O payload final é entregue a partir de servidores controlados pelos operadores e pode ser alterado dinamicamente sem exigir nova submissão da extensão às lojas.

Impacto operacional

Além do roubo de credenciais e dados de reuniões (no caso do Zoom Stealer), a arquitetura permite que operadores ativem funcionalidades maliciosas diferentes conforme seus interesses — desde fraude ao consumidor até espionagem corporativa — sem necessidade de atualizações detectáveis nas extensões.

Mitigações para defender ambientes

Revisão de extensões: políticas organizacionais que limitem ou gerenciem extensões instaladas por usuários.
Proteção de endpoints: aplicação de controles de navegador (policy templates), bloqueio de comunicações para domínios suspeitos e monitoramento de solicitações anômalas.
Adoção de whitelists: preferir extensões de fornecedores corporativos verificados e gerenciar instalações por meio de MDM/UEFI.

O que não foi confirmado

Os relatórios agregam estatísticas e correlações de infraestrutura; não há divulgação pública de uma lista completa de usuários afetados ou de evidências forenses individuais liberadas para auditoria externa nos artigos consultados.

Fonte: Cyber Security News (Koi analysis).