Os usuários do Google já estão acostumados a estar na mira de cibercriminosos de diversos tipos, seja com ataques direcionados ao Gmail, ao Chrome ou a qualquer outro serviço da gigante de buscas. No entanto, os alertas de ataques mais recentes envolvem o uso de ferramentas maliciosas por parte dos invasores.
Se o alerta falso de “Check-up de Segurança da Conta Google” já não fosse ruim o suficiente, agora foi reportado que uma extensão do Chrome, anteriormente legítima e usada para pesquisar na tela com o Google Lens, foi comprometida recentemente e transformada em uma ferramenta maliciosa para roubo de senhas. Confira o que você precisa saber.
Hackers transformam ferramenta de busca genuína do Chrome em plataforma de ataque
O Google Chrome é o navegador mais popular do mundo — ou pelo menos o mais utilizado –, com estimativas apontando que o número de usuários está se aproximando rapidamente dos 4 bilhões em 2026. O fato de ser um alvo para atacantes não é surpresa para ninguém, muito menos para o Google, que possui um verdadeiro arsenal de proteções para ajudar a prevenir ameaças.
Às vezes, porém, uma ameaça consegue driblar essas defesas. Isso parece ser especialmente comum quando se trata de extensões do Chrome, como ficou exposto recentemente quando 30 extensões maliciosas de assistentes de IA foram descobertas. Esta última ameaça também é do tipo extensão, mas desta vez foi particularmente insidiosa por explorar uma ferramenta que antes era confiável e legítima.
De acordo com o site Bleeping Computer, a extensão QuickLens, que anteriormente possuía o selo de “recomendada” pelo Google, chegou a ter 7.000 usuários e permitia realizar buscas no Google Lens diretamente do navegador.
Estava tudo indo bem até o dia 17 de fevereiro — pouco mais de duas semanas após a troca de dono, quando o desenvolvedor vendeu o projeto. “Uma nova versão, a 5.8, foi lançada contendo scripts maliciosos que introduziram ataques do tipo ClickFix e funcionalidades de roubo de informações para quem utilizava a extensão”, afirmou o Bleeping Computer.
John Tuckner, fundador da Annex Security, foi o primeiro a relatar o incidente envolvendo a QuickLens. “Este é o problema da cadeia de suprimentos de extensões resumido em poucas palavras”, alertou Tuckner. “Uma extensão funcional, revisada e com selo de destaque troca de mãos, e o novo proprietário envia uma atualização ‘armada’ para todos os usuários existentes.”
Como o Chrome faz atualizações automáticas, bastando apenas um aviso de permissão, o invasor conseguiu distribuir uma ferramenta de ataque totalmente funcional, rodando no navegador de todos os 7.000 usuários legítimos. A atualização maliciosa adicionou recursos nada agradáveis, como a remoção de cabeçalhos de segurança globais, limpeza silenciosa de rastros e, claro, a execução remota de código através de um truque de carregamento de pixel de imagem.
Google removeu a QuickLens da Chrome Web Store e a desativou no navegador
O resultado? Os usuários foram bombardeados com alertas falsos de “Atualização do Google”; na verdade, tratava-se de uma variante de ataque do credential-stealer ClickFix. O alvo final, a carga útil do ataque, eram credenciais de criptomoedas e endereços de carteiras digitais. Esta não é a primeira vez que reporto extensões de navegador sendo comprometidas para esse fim; a última foi quando a Trust Wallet confirmou que sua extensão oficial do Chrome havia sido invadida, levando ao roubo de pelo menos US$ 7 milhões em criptoativos.
A Forbes entrou em contato com o Google para obter um posicionamento, mas a boa notícia é que a extensão comprometida QuickLens já foi removida da Chrome Web Store. Além disso, ela parece ter sido desativada automaticamente pelo próprio Chrome, protegendo assim os usuários que já a tinham instalada.
A má notícia, porém, é que é improvável que este seja o último exemplo de extensões legítimas que acabam se tornando o oposto disso. O conselho de sempre continua valendo: só atualize aplicativos e serviços oficiais a partir de sites oficiais que você acessou através de URLs conhecidas e confiáveis, nunca clicando em pop-ups ou links como os mencionados aqui.
*Matéria publicada originalmente em Forbes.com
