CEVIU Logo
Voltar

De um Compromisso Sofisticado na Cadeia de Suprimentos de Extensões de Navegador a um VibeCoded Twist: Extensão do Chrome como Vetor de Acesso Inicial para Cadeia de Malware Ampla

Aprofundamento CEVIU

Aprofundamento

A extensão ShotBird não é um caso isolado, é um sintoma agudo de uma falha estrutural na cadeia de suprimentos do Chrome: mais de 300 extensões maliciosas foram identificadas em uma única campanha em 2026, com 37 milhões de downloads acumulados. O ataque explora três brechas críticas ao mesmo tempo: a transferência não auditada de propriedade de extensões (sem verificação de identidade ou histórico de código), a permissão implícita de 'leitura e modificação em todos os sites' que o usuário aceita sem entender, e a ausência de sandboxing efetivo para regras declarativas como rules.json, que permitiram remover CSP e X-Frame-Options sem disparar alertas.

O stager psfx.msi não é só um artefato técnico, é um indicador de maturidade operacional: ele decodifica comandos via PowerShell Block Logging (Event ID 4104), evitando detecção por EDRs tradicionais, e usa PSEtwLogProvider para suprimir ETW, desabilitando até mesmo o rastreamento nativo do Windows. Isso mostra que o atacante não está apenas roubando senhas, mas construindo um canal persistente de controle remoto com capacidade de extração de credenciais do Credential Manager e dados sensíveis do perfil Chromium, incluindo Web Data e Login, que contêm tokens de sessão, cookies e até dados de pagamento salvos.

Por que isso importa

Extensões de navegador deixaram de ser ferramentas secundárias, são agora o novo ponto de entrada privilegiado para ataques corporativos. Em 2026, 840 mil instalações de extensões falsas de IA (como assistentes que imitam ChatGPT) já foram registradas, muitas com permissões idênticas às da ShotBird. Empresas que permitem instalações livres de extensões estão, na prática, distribuindo backdoors autorizados. A exfiltração de dados via api.getextensionanalytics.top não é um endpoint aleatório: domínios assim aparecem repetidamente em campanhas paralelas (QuickLens, CL Suite, VK Styles), sugerindo infraestrutura compartilhada e operações coordenadas entre grupos distintos. O fato de o Google ter corrigido 3 zero-days no Chrome só em março de 2026, incluindo CVE-2026-3910 no V8, reforça que o navegador virou um campo de batalha onde vulnerabilidades de execução se combinam com falhas de governança de extensões para gerar danos em escala industrial.

Perguntas frequentes

Como saber se minha empresa já foi afetada pela ShotBird ou extensões similares?

Verifique logs de Endpoint Detection and Response (EDR) por Event ID 4104 com padrões de decodificação base64 + iex, busque conexões para api.getextensionanalytics.top ou irm orangewater00.com, e faça varredura nas máquinas por extensões com ID gengfhhkjekmlejbhmmopegofnoifnjp. Também revise políticas de grupo do Chrome: se não há lista branca de extensões forçada via ADMX, o risco é generalizado.

Por que o Chrome não bloqueou a ShotBird antes, se ela enviava dados para domínios suspeitos?

O Chrome não inspeciona em tempo real o tráfego HTTP de extensões, só valida assinatura e permissões no momento da instalação. Como ShotBird usou regras declarativas válidas (rules.json) para remover CSP e injetar scripts, o comportamento malicioso só se manifestou após a instalação, fora do alcance das políticas de sandbox padrão.

Qual é a diferença entre esse ataque e um malware tradicional de download?

Diferente de um executável baixado por phishing, ShotBird foi instalada com permissão explícita do usuário, passou por todas as etapas de revisão da Chrome Web Store (incluindo análise estática), e operou por meses com comportamento legítimo antes de ativar a carga maliciosa. Isso a torna invisível para soluções baseadas em reputação e permite que ela contorne firewalls corporativos que liberam tráfego HTTPS para APIs legítimas.

O que posso fazer hoje para evitar esse tipo de ameaça?

Implemente política de extensões via Chrome Enterprise: force lista branca com IDs hashados, desative atualizações automáticas de extensões não gerenciadas, e monitore em tempo real o uso de APIs sensíveis (como chrome.cookies, chrome.storage.local) via ferramentas como Microsoft Defender for Endpoint ou CrowdStrike. Não confie em 'extensões populares', 35 delas foram comprometidas em 2025 por conta de credenciais de desenvolvedores roubadas.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser