Por Lillian Sibila Dala Costa • Editado por Jones Oliveira | 07/01/2026 às 08:20
O grupo hacker DarkSpectre, responsável pelas campanhas maliciosas contra extensões de navegador ShadyPanda e GhostPoster foi detectado como o responsável por uma terceira iniciativa, chamada Zoom Stealer, que já impactou mais de 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox.
Segundo a empresa de cibersegurança Koi Security, os agentes criminosos atacam a partir da China: juntas, as três campanhas juntaram mais de 8,8 milhões de vítimas, feitas ao longo de sete anos. A iniciativa ShadyPanda foi descoberta pela mesma companhia ainda em dezembro de 2025, afetando 5,6 milhões de usuários.
No ataque ShadyPanda, uma das extensões infectadas foi a popular New Tab - Costumized Dashboard, que ficava incubada por três dias antes de atacar. Nove das extensões afetadas ainda estão ativas, com 85 ainda “dormentes”, que aparentam ser inofensivas, mas atacam após atualizações maliciosas. Em alguns casos, a ferramenta só recebeu o conteúdo hacker após cinco anos de funcionamento normal.
Já a campanha GhostPoster focou em usuários de Firefox, principalmente extensões simples e ferramentas de VPN, contendo código JavaScript que roubava links afiliados, injetava código de rastreamento e fraudes de anúncios. A terceira campanha do grupo, Zoom Stealer, afetou 18 extensões no Chrome, Edge e Firefox, focando no roubo de dados de aplicativos de reunião, num esforço de inteligência corporativa.
Confira as extensões afetadas e seus IDs nas lojas, começando com o Google Chrome:
Já no Microsoft Edge, a única extensão afetada foi a Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj), enquanto o Firefox teve as extensões Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}) e x-video-downloader (xtwitterdownloader@benimaddonum.com. O plano dos hackers era o de coletar links, credenciais e listas de participantes através de uma conexão WebSocket em tempo real.
O roubo de dados corporativos foi feito ao requisitar acesso a mais de 28 plataformas de vídeoconferência, como WebEx, Meet, Webinar, Teams e Zoom, vendendo tudo para atores maliciosos, que usam as informações para engenharia social e operações de falsidade ideológica. Foram usados servidores de comando e controle (C2) como Alibaba Cloud e provedores chineses como Hubei. Segundo a Koi Security, é provável que mais extensões estejam apenas esperando para agir e roubar dados.
Esquenta CES: o que esperar da maior feira de tecnologia do mundo