Hack Alerta

Extensão ‘Free Unlimited VPN’ com 9 milhões de installs interceptava tráfego

Por Redação Hack Alerta Publicado em 19/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Extensões disfarçadas de VPN acumulavam 9 milhões de instalações e operavam como proxies controlados por invasores, alterando configurações PAC e interceptando credenciais e navegação. A campanha evoluiu entre 2019 e 2025, com versões mais furtivas em 2025.

Uma campanha de extensões de navegador disfarçadas de VPNs gratuitas acumulou mais de 9 milhões de instalações antes de ser detectada; as extensões agiam como proxies remotos, interceptando navegações e permitindo roubo de credenciais e monitoramento em larga escala.

Descoberta e escopo

Relatório da LayerX Security, reproduzido pela fonte, descreve uma família de extensões anunciadas como “Free Unlimited VPN” que, na prática, funcionavam como proxies controlados por invasores. Duas variantes principais foram identificadas entre 2019 e maio de 2025 (Extension A — set/2019; Extension B — mai/2020), ambas apoiadas no domínio free-vpn.pro. Uma terceira variante apareceu em julho de 2025, com técnicas de evasão mais avançadas.

Comportamento técnico e evasão

  • As extensões buscavam ficheiros de configuração remotos e alteravam proxy em tempo real, redirecionando tráfego para servidores do operador;
  • o código era altamente ofuscado e URLs continham caminhos randômicos longos para frustrar detecção por reputação;
  • mecanismos anti‑análise: atraso de 2 segundos antes da ativação do proxy na versão 2025, carregamento dinâmico de lógica de roteamento e keepalive scripts para persistência;
  • varredura e desabilitação de extensões concorrentes e uso de history.replaceState() para apagar evidências forenses de redirecionamentos;
  • modificação remota via PAC scripts permitia redirecionar vítimas para páginas de phishing ou publicidade sem a interação do usuário.

Impacto

Ao operar como proxies remotos, os operadores conseguiram visibilidade total sobre navegações: credenciais, dados financeiros e padrões de navegação podiam ser coletados e exfiltrados. A existência de múltiplas versões e o rápido reposicionamento em novas extensões após remoção indicam um operador persistente com infraestrutura resiliente.

Recomendações e mitigação

As fontes destacam riscos associados a permissões amplas concedidas a extensões. Recomendações imediatas incluem:

  • evitar instalação de extensões VPN de origem não verificada;
  • restringir políticas de extensão em ambientes corporativos (allowlist) e usar políticas de navegador gerenciadas;
  • analisar fluxos de proxy e detectar PAC scripts externos ou alterações de configuração de proxy não autorizadas;
  • monitorar comportamento de extensões (e.g., alterações de proxy, injeção de scripts, persistência em background) e manter inventário rigoroso de extensões instaladas.

Limitações das informações

A matéria documenta as técnicas e o histórico temporal, mas não apresenta uma lista pública de domínios de comando‑e‑controle nem um número preciso de usuários afetados por variante. A contagem de “9 milhões de instalações” refere‑se ao acúmulo antes da detecção e remediação parcial.

Implicações para defesa

Extensões com permissões de proxy demonstram que controles de endpoint e políticas de browser são essenciais. Organizações devem tratar extensões com cautela, aplicar políticas de gerenciamento centralizado e combinar controles técnicos com conscientização do usuário para reduzir o risco de exfiltração via plugins maliciosos.

Baseado em publicação original de Cyber Security News
Tags: #browser-extension #vpn #proxy #chrome #layerx #credentials #pac #ofuscation #detection
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar