Início Blog Aquisição Silenciosa: Como Extensões do Chrome Compradas se Tornaram Ferramentas de Manipulação de Páginas Web Controladas Remotamente

Aquisição Silenciosa: Como Extensões do Chrome Compradas se Tornaram Ferramentas de Manipulação de Páginas Web Controladas Remotamente

 

Sumário Executivo

Nossa investigação revelou uma campanha coordenada na qual várias extensões do Chrome — inicialmente benignas e com funções distintas — foram transformadas em ferramentas de injeção de conteúdo controladas remotamente. Embora as extensões parecessem inofensivas e não solicitassem permissões especiais, cada uma foi modificada para baixar periodicamente um arquivo de configuração de um domínio controlado pelo atacante. Essas regras dinâmicas permitiam que as extensões sobrescrevessem o conteúdo de páginas da web, injetassem HTML externo e manipulassem sites visitados pelo usuário sem a necessidade de uma atualização da Chrome Web Store.

A análise da infraestrutura revelou que a funcionalidade maliciosa das extensões foi introduzida. imediatamente após a transferência de propriedade na Chrome Web Store, um padrão observado em diversos casos. Paralelamente, os domínios de comando e controle (C2) usados ​​para transmitir instruções remotas foram registrados. pouco antes da publicação das atualizações comprometidas, sugerindo preparação premeditada da infraestrutura do atacante. A convergência de lógica de injeção idêntica, padrões arquitetônicos compartilhados, registros de domínio sincronizados e alterações de código pós-aquisição indica que essas extensões foram comprometidas e operacionalizadas como parte de um campanha coordenada e apoiada por infraestrutura em vez de incidentes isolados.

Análise Técnica

Embora cada extensão apresentasse uma funcionalidade benigna diferente, o código interno implementava os mesmos comportamentos de alto risco. Em todas as extensões analisadas, um mecanismo oculto recorrente permitia a manipulação remota e dinâmica de páginas web. A seguir, focaremos no comportamento malicioso persistente em todas as extensões identificadas:

  1. Obtenção remota de configuração

Cada extensão contatava um servidor externo a cada 5 minutos para baixar um novo arquivo de configuração (config.php ou theme.php).

Este arquivo continha instruções que controlavam:

  • Quais sites segmentar
  • Quais elementos DOM modificar?
  • Qual carga útil remota injetar?

Figura 1. Uma expressão regular que corresponde a 'location.href'

Como essas configurações provêm de domínios controlados por atacantes, o comportamento da extensão pode ser alterado instantaneamente, sem qualquer atualização através da Chrome Web Store.

Este design cria efetivamente um canal de comando e controle dentro do navegador.

  1. Injeção dinâmica de DOM

A configuração baixada definia regras como:

  • de cinto de segurança – Expressão regular para encontrar sites específicos
  • seletor – elementos no DOM a serem sobrescritos
  • url – ponto de extremidade remoto que fornece HTML/texto injetado
  • atr – a propriedade DOM a ser substituída (ex.: innerHTML, src, href)

Figura 2. Substituição de Objeto DOM

As extensões usavam essas regras para obter conteúdo controlado pelo atacante e injetá-lo diretamente em páginas da web:

Isso permite que servidores remotos:

  • Substituir formulários de login
  • Inserir sobreposições de phishing
  • Modificar páginas financeiras ou de compras
  • Injetar anúncios ou beacons de rastreamento
  • Alterar conteúdo de redes sociais

Todas as sem alertas, permissões ou visibilidade do usuário.

  1. Manipulação persistente via MutationObservers

Para garantir que as modificações não possam ser desfeitas pelo site, a extensão utiliza o MutationObserver. 

Isso reaplica continuamente o conteúdo injetado sempre que a página é atualizada, garantindo uma manipulação persistente e furtiva.

As extensões compartilham uma arquitetura comum projetada para permitir que servidores remotos reescrever qualquer página da web que o usuário visite, silenciosamente e repetidamente. Isso constitui uma estrutura de manipulação de navegador altamente flexível e perigosa, disfarçada de utilitários inofensivos.

Análise de Infraestrutura

Nossa investigação revelou um ecossistema coordenado de transferências de propriedade de extensões, domínios de comando e controle (C2) provisionados rapidamente e atualizações maliciosas sincronizadas, fortes indícios de que essas extensões foram comprometidas e operacionalizadas como parte de uma campanha estruturada, e não como eventos isolados.

  1. Transferências de propriedade por extensão e armamento pós-aquisição

Os metadados históricos da Chrome Web Store mostram um padrão consistente: as extensões comportaram-se de forma benigna até pouco depois da alteração de sua propriedade. Em diversas amostras, observamos:

  • Uma alteração no proprietário ou desenvolvedor da extensão listada pouco antes da atualização maliciosa.
  • Não há evidências de lógica de configuração remota em versões anteriores.
  • Uma inserção repentina de:
    • Recuperação periódica de arquivos de configuração remotos
    • Conjuntos de regras para reescrita do DOM
    • Chamadas Beacon para instalar.php
    • Código de suporte que permite a manipulação persistente de conteúdo.

Os comentários dos usuários corroboram essa cronologia, relatando comportamentos inesperados imediatamente após essas atualizações.

Isso está em consonância com uma estratégia conhecida em campanhas de abuso de extensões de domínio: Os agentes maliciosos compram extensões de instalação complexa e as adaptam com uma estrutura maliciosa modular.

  1.  Acoplamento temporal entre o registro de domínio C2 e atualizações maliciosas

A análise dos registros WHOIS da infraestrutura utilizada pelas extensões revela uma correlação temporal impressionante.

Principais observações:

  • Os domínios foram registrados. dias a semanas antes que as versões maliciosas da extensão fossem publicadas.
  • As atualizações maliciosas começaram a consultar esses domínios quase imediatamente após entrarem em funcionamento.
  • Os domínios compartilham convenções de nomenclatura e características de infraestrutura semelhantes, sugerindo um provisionamento centralizado.

Esse padrão é consistente com adversários que preparam a infraestrutura operacional imediatamente antes de ativar extensões comprometidas.

  1. Versões limpas vs. versões maliciosas

A comparação do código entre versões anteriores e posteriores destaca um ponto de inflexão claro:

Versões pré-compromisso (benignas)

  • Continha apenas as funcionalidades anunciadas (ex.: edição de imagens, detecção de vídeos, extração de DOI).
  • Não há recursos de configuração externos.
  • Sem injeção de conteúdo dinâmico.
  • Ausência de mecanismos de monitoramento persistente (ex.: MutationObservers).
  • Sem APIs de depuração ou de identificação de domínio.

Versões pós-compromisso (maliciosas)

  • Adicionado um loop de recuperação de configuração remota (normalmente com sondagem a cada 5 minutos).
  • Introduziu-se a manipulação do DOM orientada por instruções, utilizando regras correspondentes a expressões regulares.
  • Incorporamos um mecanismo de injeção reutilizável capaz de sobrescrever conteúdo arbitrário da página.
  • Balizas de instalação integradas para telemetria de volta aos domínios controlados pelo atacante.

Figura 3. kbaofbaehfbehifbkhplkifihabcicoi antes e depois

A diferença corrobora fortemente a hipótese de instrumentalização deliberada após a aquisição.

  1. Indicadores de um conjunto de ferramentas compartilhado ou de um agente de ameaça unificado

Uma comparação por extensão cruzada revelou um alto grau de similaridade estrutural:

  • Intervalos de sondagem idênticos (300 segundos).
  • Lógica praticamente idêntica para analisar regras de configuração remota.
  • Nomes consistentes para campos como pathMatch, selector, applyMethod e resourceLink.
  • Endpoints remotos recorrentes (config.php, theme.php, install.php).
  • Padrões semelhantes de supressão de erros e chamadas fetch() com falha silenciosa.
  • Identificar padrões correspondentes na forma como o conteúdo injetado substitui os atributos do DOM.
ID da extensão Mudança de proprietário Registro do Domínio Versão maliciosa enviada
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

A convergência entre várias extensões com marcas independentes sugere um único desenvolvedor da estrutura maliciosa ou um serviço criminoso que oferece um kit de ferramentas pronto para uso para armar extensões.

A infraestrutura, os cronogramas e as relações entre os códigos-fonte indicam, em conjunto, uma operação coordenada em vez de abusos oportunistas ou isolados.

Campanha de dezembro de 2025

A LayerX Security monitora continuamente casos em que extensões de navegador anteriormente benignas se transformam em maliciosas. Em dezembro, identificamos diversas extensões adicionais, publicadas pelos mesmos autores, que passaram a apresentar comportamento malicioso, revelando uma nova campanha focada em converter extensões benignas em adware agressivo.

Inicialmente, as extensões parecem inofensivas, implementando uma funcionalidade simples. No entanto, além dessa funcionalidade declarada, o código também recupera uma configuração remota de um servidor externo. Essa configuração contém uma lista de domínios nos quais a extensão injeta notificações enganosas, cada uma incorporando uma URL que amplia a cadeia de infecção.

Figura 4. Arquivo de configuração recuperado.

Quando um usuário visita um desses domínios, uma notificação maliciosa é exibida imediatamente, solicitando uma etapa de "verificação humana".

Figura 5. Notificação falsa.

O botão de verificação redireciona a vítima para sucessivas páginas com a mensagem "não sou um robô" que exibem apenas imagens estáticas, enquanto, em segundo plano, um script registra um service worker, identifica o dispositivo, o navegador e o sistema operacional do usuário e transmite essas informações para pushtorm.net. Em seguida, o usuário é solicitado a conceder permissões de notificação.

Figura 6. Pedido de autorização.

Uma vez concedida a permissão, a extensão exibe repetidamente anúncios intrusivos por meio do mesmo mecanismo de redirecionamento e abuso de notificações, sujeitando o usuário a um comportamento persistente e agressivo de adware.

Conclusão

Nossa análise revela que essas extensões não eram casos isolados de comportamento malicioso, mas sim componentes de uma estrutura de distribuição coordenada e em constante evolução. Embora cada extensão apresentasse uma característica benigna diferente, elas compartilhavam um mecanismo de injeção remoto comum, lógica de configuração idêntica e um ciclo de verificação consistente de 5 minutos.

A análise da infraestrutura mostra ainda que a maioria das extensões foram Armamentadas somente após a transferência de propriedadee os domínios de comando e controle controlados pelo atacante eram Registrado pouco antes das atualizações maliciosasEssa forte integração indica claramente uma campanha deliberada e organizada que adquire extensões legítimas e as adapta com um conjunto de ferramentas modular de injeção de conteúdo.

Em conjunto, essas descobertas demonstram um padrão claro: um sistema escalável e gerenciado centralmente, projetado para manipular páginas da web, implantar payloads arbitrários e evoluir rapidamente sem exigir novas atualizações da Web Store. Isso destaca uma lacuna significativa nos modelos atuais de revisão de extensões e ressalta a necessidade de uma detecção mais robusta de comportamentos de configuração remota e abuso de extensões após a aquisição.

IOCs

IDs de extensão - Extensões atualmente ativas

ID Nome Instalação
kbaofbaehfbehifbkhplkifihabcicoi Editor PhotoExpress 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Extensão Canva para Chrome | Editor de Design, Arte e IA 1,000
nimnhhcainjoacphlmhbkodofenjgobh Internet Archive Saver 2,000
jleonlfcaijhkgejhhjfjinedgficgaj Editor e Downloader de Vídeo CapCut 6,000
pgfjnclkpdmocilijgalomiaokgjejdm SnapConnect para Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn Plug-in do serviço de impressão HP

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Edite qualquer coisa - Impulsione qualquer página 780
ooobfpifjkgeopllkalfgkbiefhooggl Blooket Hacker Pro

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Hacker do Kahoot

 

 1,000
eggegjdejilddmnlglakcaigefefcdaf Fics Interativas

 

 350

IDs de extensão - Removidos das extensões da loja

ID Nome Instalação
eekibodjacokkihmicbjgdpdfhkjemlf Fics Interativas 3,000
ggjlkinanncojaippgbndimlhcdlohf PaperPanda — Obtenha milhões de artigos de pesquisa 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal - Falsifique fuso horário, geolocalização, localidade e segurança 40,000

Domínios e e-mails de suporte

TTP

Tática Técnica
Desenvolvimento de Recursos LX2.001(T1588) - Obter capacidades
Acesso de credencial LX8.008 - Adulteração de rede
Discovery LX9.003 (T1082) - Descoberta de informações do sistema
Comando e controle LX11.004 - Estabelecer conexão de rede
Impacto LX13.004.1 (T1565) - Manipulação de Dados: Manipulação de Conteúdo

Remediação e Mitigação

Para usuários

  • Remova extensões que carregam arquivos de configuração remotos — qualquer coisa que busque config.php ou theme.php de servidores desconhecidos representa um risco.

  • Evite extensões que modificam o conteúdo da web sem justificativa clara - reescrita do DOM + conteúdo remoto = alto risco.

  • Dê preferência a desenvolvedores renomados e com boa reputação; evite extensões "novas", "desconhecidas" ou com poucas avaliações.

  • Analise a atividade das extensões usando as ferramentas integradas do Chrome — procure por conexões de rede inesperadas.

Para equipes de segurança

  • Detectar artefatos comuns - Sinalizar extensões que:

    • Obter configurações de injeção remota
    • Use consultas com carimbo de data/hora para ignorar o cache
    • Defina regras de injeção com seletores e padrões.
    • Use MutionObservers de forma agressiva.
    • Usar as APIs do depurador do Chrome desnecessariamente

  • Realizar testes comportamentais em ambiente de testes - Monitorar:

    • Alterações no DOM
    • chamadas de rede de saída
    • Elementos modificados
      Cronograma de extrações de configuração remota

  • Bloquear domínios de ativos maliciosos conhecidos - Monitorar domínios relacionados a essas famílias de extensões.