Notícias, Privacy

Firefox junta-se Chrome Edge extensões ocultas que espionam os utilizadores

por Pieter Arntz | 19 de janeiro de 2026
extensões de navegador inativas para três navegadores populares

Acredita-se que um grupo de cibercriminosos chamado DarkSpectre esteja por trás de três campanhas disseminadas por extensões maliciosas de navegadores: ShadyPanda, GhostPoster e Zoom Stealer.

Escrevemos sobre a campanha ShadyPanda em dezembro de 2025, alertando os utilizadores que extensões que funcionavam normalmente há anos de repente se tornaram maliciosas. Após uma atualização maliciosa, essas extensões passaram a rastrear o comportamento de navegação e executar códigos maliciosos dentro do navegador.

Também em dezembro, pesquisadores descobriram uma nova campanha, GhostPoster, e identificaram 17 extensões comprometidas do Firefox. Descobriu-se que a campanha escondia código JavaScript dentro do logotipo de imagens de extensões maliciosas do Firefox com mais de 50.000 downloads, permitindo que os invasores monitorassem a atividade do navegador e instalassem um backdoor.

O uso de código malicioso em imagens é uma técnica chamada esteganografia. As extensões anteriores do GhostPoster escondiam o código do carregador JavaScript dentro de ícones PNG, como logo.png, para extensões do Firefox como “Free VPN ”, usando um marcador (por exemplo, três sinais de igual) nos bytes brutos para separar os dados da imagem da carga útil.

As variantes mais recentes passaram a incorporar cargas em imagens arbitrárias dentro do pacote de extensões, decodificando-as e descriptografando-as em tempo de execução. Isso torna o código malicioso muito mais difícil de ser detectado pelos pesquisadores.

Com base nessa pesquisa, outros investigadores encontraram mais 17 extensões associadas ao mesmo grupo, além do conjunto original do Firefox. Estas foram descarregadas mais de 840 000 vezes no total, com algumas permanecendo ativas em circulação por até cinco anos.

O GhostPoster visou inicialmente Edge Microsoft Edge e, posteriormente, expandiu-se para Chrome o Firefox, à medida que os atacantes desenvolviam a sua infraestrutura. Os atacantes publicaram as extensões na loja virtual de cada navegador como ferramentas aparentemente úteis, com nomes como «Google Translate in Right Click», «Ads Block Ultimate», «Translate Selected Text with Google»,Instagram » e «Youtube Download».

As extensões podem ver sites visitados, consultas de pesquisa e comportamento de compras, permitindo que os invasores criem perfis detalhados dos hábitos e interesses dos utilizadores.

Combinada com outro código malicioso, essa visibilidade poderia ser estendida ao roubo de credenciais, sequestro de sessão ou ataques direcionados a fluxos de trabalho bancários online, mesmo que esses não sejam o objetivo principal atualmente.

Como se manter seguro

Embora sempre aconselhemos as pessoas a instalar extensões apenas a partir de lojas oficiais da web, este caso prova mais uma vez que nem todas as extensões disponíveis nessas lojas são seguras. Dito isto, o risco envolvido na instalação de uma extensão fora da loja da web é ainda maior.

As extensões listadas na loja virtual passam por umprocesso de revisãoantes de serem aprovadas. Esse processo, que combina verificações automáticas e manuais, avalia a segurança da extensão, a conformidade com as políticas e a experiência geral do utilizador. O objetivo é proteger os utilizadores contra fraudes, malware e outras atividades maliciosas.

A Mozilla e a Microsoft removeram os complementos identificados das suas lojas, e a Google confirmou a sua remoção da Chrome Store. No entanto, as extensões já instaladas permanecem ativas no Chrome Edge os utilizadores as desinstalem manualmente. Quando a Mozilla bloqueia um complemento, ele também é desativado, o que impede que ele interaja com o Firefox e aceda ao seu navegador e aos seus dados.

Se estiver preocupado por ter instalado uma dessas extensões, Windows podem executar uma verificação Malwarebytes com os navegadores fechados.

  • No Malwarebytes Painel de controlo clique nos três pontos empilhados para selecionar o Advanced opção.
    Advanced para encontrar extensões Sleep
  • No separador Advanced , selecione Verificação profunda. Tenha em atenção que esta verificação utiliza mais recursos do sistema do que o habitual.
  • Após a verificação, remova todos os itens encontrados e reabra o(s) seu(s) navegador(es).

Verificação manual:

Estes são os nomes das 17 extensões adicionais que foram descobertas:

  • Bloqueador de anúncios
  • Bloqueador de anúncios Ultimate
  • Histórico de Amazon
  • Realçador de cor
  • Converter tudo
  • Cursor fixe
  • Leitor flutuante – Modo PiP
  • Captura de ecrã de página inteira
  • Google Translate no clique direito
  • Instagram
  • Traduzir com uma tecla
  • Captura de tela da página
  • Feed RSS
  • Salvar imagem no Pinterest com o botão direito do mouse
  • Traduzir texto selecionado com o Google
  • Traduzir texto selecionado com o botão direito do rato
  • Download do Youtube

Nota: Pode haver extensões com os mesmos nomes que não são maliciosas.

Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.

Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes