Pesquisadores da LayerX identificaram um novo conjunto de extensões maliciosas disponíveis para Chrome, Firefox e Edge que coletavam dados de navegação e instalavam backdoors para manter acesso persistente aos dispositivos. Ao todo, foram encontradas ao menos 17 extensões com mais de 840 mil downloads somados, muitas distribuídas por lojas oficiais dos navegadores.
O caso chama atenção tanto pela escala quanto pelo nível técnico: as extensões não só espionavam usuários como também eram capazes de executar uma série de ações maliciosas sem aviso, como desviar links de afiliados, inserir rastreamento via Google Analytics e contornar mecanismos de segurança das páginas visitadas. Vale lembrar que há cerca de um mês outro relatório já havia apontado que 4,3 milhões de usuários do Chrome e do Edge foram espionados por meio de extensões maliciosas.
Continuidade da campanha GhostPoster
Segundo a LayerX, essa descoberta está ligada à campanha conhecida como GhostPoster, que havia sido revelada originalmente pela Koi Security em dezembro de 2025. Naquela ocasião foi identificado outro grupo de 17 extensões com técnicas semelhantes e cerca de 50 mil downloads acumulados. As novas variantes ampliam e aprimoram os métodos de vigilância e acesso remoto.
Extensões identificadas
O relatório lista as seguintes extensões como parte desse novo conjunto malicioso:
- Google Translate in Right Click
- Translate Selected Text with GoogleAds Block
- Ultimate Floating Player – PiP Mode
- Convert Everything
- YouTube Download
- One Key Translate
- AdBlocker
- Save Image to Pinterest on Right Click
- Instagram Downloader
- RSS Feed
- Cool Cursor
- Full Page Screenshot
- Amazon Price History
- Color Enhancer
- Translate Selected Text with Right Click
- Page Screenshot Clipper
Publicação e alcance
Algumas dessas extensões foram publicadas originalmente ainda em 2020, o que indica que usuários podem ter ficado expostos por anos sem perceber. A maioria teve início na loja do Microsoft Edge e depois migrou para o Chrome e o Firefox, movimento que ampliou o alcance da campanha e dificultou a detecção.
Como o código malicioso era ocultado
Um dos aspectos mais incomuns do ataque foi a forma de esconder o código. Em alguns casos, scripts JavaScript estavam encobertos dentro do próprio arquivo PNG usado como logotipo da extensão. Esse código servia para baixar a carga principal de um servidor remoto. Para reduzir a chance de detecção, o download do módulo principal foi configurado para ocorrer em apenas cerca de 10% das execuções da extensão.
Capacidades e impactos das extensões
Quando ativado, o malware realizava diversas ações prejudiciais, entre elas:
- desvio de links de afiliados em grandes sites de e‑commerce, prejudicando criadores de conteúdo;
- inserção de rastreamento do Google Analytics em todas as páginas visitadas;
- remoção de cabeçalhos de segurança das respostas HTTP;
- contorno de sistemas de CAPTCHA por diferentes métodos;
- injeção de iframes invisíveis, usados para fraudes de anúncios e cliques, que se autodestruíam após alguns segundos.
Essas técnicas permitiam tanto espionagem contínua quanto fraudes financeiras e mineração de receita por meio de cliques e redirecionamentos, mantendo controle persistente dos navegadores infectados.
O relatório da LayerX destaca a necessidade de atenção redobrada ao instalar extensões, já que campanhas como a GhostPoster evoluem e aproveitam canais oficiais de distribuição para ampliar seu alcance, mantendo códigos maliciosos ocultos por longos períodos.
