Extensões de download de vídeo aparentemente inofensivas podem esconder ameaças graves à sua privacidade e segurança digital. Recentemente, o grupo hacker DarkSpectre foi identificado como responsável por três campanhas maliciosas que afetaram milhões de usuários em navegadores como Google Chrome, Microsoft Edge e Mozilla Firefox. Essas campanhas, denominadas ShadyPanda, GhostPoster e Zoom Stealer, já impactaram mais de 8,8 milhões de vítimas ao longo de sete anos.
O alcance das campanhas maliciosas
De acordo com a empresa de cibersegurança Koi Security, os ataques originam-se da China e visam principalmente extensões de download de vídeo e ferramentas de produtividade. A campanha ShadyPanda, descoberta em dezembro de 2025, afetou 5,6 milhões de usuários, enquanto a Zoom Stealer atingiu mais de 2,2 milhões. Essas extensões maliciosas permanecem dormentes por períodos prolongados, algumas por até cinco anos, antes de ativar seu código prejudicial.
Além disso, as extensões infectadas podem parecer legítimas, mas, após atualizações maliciosas, começam a roubar dados sensíveis. Por exemplo, a extensão New Tab – Customized Dashboard ficou incubada por três dias antes de iniciar seus ataques. Atualmente, nove extensões ainda estão ativas, enquanto outras 85 permanecem dormentes, aguardando o momento certo para agir.
Como as extensões maliciosas operam
A campanha GhostPoster focou em usuários do Firefox, utilizando extensões simples e ferramentas de VPN para roubar links afiliados e injetar códigos de rastreamento. Já a Zoom Stealer direcionou seus esforços para o roubo de dados corporativos, coletando informações de plataformas de videoconferência como Zoom, Google Meet e Microsoft Teams. Os hackers utilizaram servidores de comando e controle (C2) em provedores como Alibaba Cloud para transmitir os dados roubados em tempo real.
Os dados coletados incluem links de reuniões, credenciais de acesso e listas de participantes, que são posteriormente vendidos para atores maliciosos. Essas informações são usadas em esquemas de engenharia social e operações de falsidade ideológica, representando um risco significativo para empresas e indivíduos.
Lista de extensões comprometidas
Confira abaixo algumas das extensões de download de vídeo e ferramentas afetadas:
- Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp);
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep);
- X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha);
- Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga);
- Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm);
- Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf);
- CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo);
- GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme);
- Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai);
- Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn);
- Mute All on Meet (adjoknoacleghaejlggocbakidkoifle);
- Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj);
- Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn);
- Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl);
- Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi).
No Microsoft Edge, a extensão Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj) também foi comprometida. Já no Firefox, as extensões Twitter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}) e x-video-downloader (xtwitterdownloader@benimaddonum.com) foram identificadas como maliciosas.
Como se proteger
Para evitar ser vítima dessas ameaças, siga estas recomendações:
- Verifique as permissões das extensões antes de instalá-las.
- Mantenha seu navegador e extensões sempre atualizados.
- Utilize soluções de segurança confiáveis para detectar atividades suspeitas.
- Remova extensões que não utiliza mais.
Em conclusão, as extensões de download de vídeo podem representar um risco significativo se não forem devidamente avaliadas. Fique atento às atualizações e sempre priorize a segurança digital.