Há alguns dias, foi detectado um caso que volta a lembrar o frágil que pode ser o ecossistema de extensões de navegador: uma extensão para o Chrome chamada "QuickLens - Search Screen with Google Lens" foi retirada da Chrome Web Store depois de uma atualização maliciosa começar a distribuir código projetado para roubar credenciais e assaltar carteiras de criptomoedas.
QuickLens nasceu como uma ferramenta prática para pesquisas com o Google Lens diretamente do navegador e chegou a reunir alguns milhares de usuários; chegou mesmo a aparecer destacada na loja do Chrome. No entanto, após uma mudança de mãos na sua propriedade, a extensão foi colocada à venda em um mercado de terceiros e, segundo pesquisadores, passou a ser gerida por uma conta ligada ao e-mail [email protected] sob um nome comercial pouco convincente, uma versão posterior incorporou código hostil que transformou a extensão em um vetor de ataque.
A primeira análise pública sobre esta manobra o publicou a equipe de segurança de Annex, que documentou como a atualização introduziu permissões novas e perigosas, e como foi adicionado um arquivo de regras que eliminava cabeçalhos de segurança dos sites (entre elas Content-Security-Policy, X-Frame-Options e X-XSS-Protection). Você pode ler o relatório técnico de Annex aqui: annex.security/blog/pixel-perfect/.
A combinação de permissões ampliadas e a supressão desses cabeçalhos permitiu que scripts recebidos de um servidor de comando e controle sejam executados praticamente em qualquer página que visitassem as vítimas. De acordo com a pesquisa, a extensão gerava um identificador persistente para cada navegador infectado, obtendo informações sobre o país do usuário (utilizando pontos finais públicos) e consultava o servidor malicioso a cada cinco minutos em busca de instruções.
Uma análise jornalística posterior por parte de BleepingComputer descreveu com mais detalhes os tipos de carga maliciosa que a extensão descarregava e executava. Um dos truques empregados foi inserir uma imagem de 1x1 píxel cujo evento onload executava código inline na página — uma técnica que, combinada com a eliminação de CSP, permitia sortear controles que normalmente bloqueiam scripts injetados.
Entre as cargas que distribuía o servidor malicioso havia uma que contava com um domínio que simulava ser uma atualização do Google e mostrava um aviso falso de “Google Update”. Esse aviso não era apenas publicidade irritante: ao carregar nele o usuário recebia instruções para executar uma espécie de “verificação” que, na verdade, desembocava na descarga de um executável para o Windows chamado Googleupdate.exe. O arquivo chegou a ser analisado em plataformas como Vírus total, onde ficou registrado seu artefato.
Esse binário, segundo os traços encontrados, lançava comandos de PowerShell em segundo plano que tentavam recuperar um segundo componente desde outro URL e executá-lo diretamente em memória, uma técnica clássica para evitar deixar rastros em disco. Por outro lado, outro programa entregue pelo servidor de comando e controle estava especificamente orientado para consumidores de criptomoeda: detectava extensões e carteiras populares (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, entre outras), com a intenção de capturar frases sementes, chaves privadas e atividade para esvaziar carteiras.
O alcance não se limitava a criptodivisas: foram relatados módulos destinados a extrair e-mails, dados de contas publicitárias no Facebook e até informações de canais do YouTube. No prontuário da extensão também foi mencionado um possível objetivo sobre macOS através de um infostealer conhecido como AMOS, embora essa parte não tenha sido confirmada de forma independente segundo os relatórios.
Diante da evidência, o Google retirou o QuickLens da loja e o Chrome começou a desativar automaticamente a extensão nos navegadores afetados. Mesmo assim, aqueles que a instalaram devem assumir que sua equipe poderia ter ficado comprometida.
Se você instalar o QuickLens, há passos concretos que você deve fazer quanto antes. Primeiro, elimina a extensão desde a gestão de extensões do Chrome — Google publica instruções sobre como fazê-lo em seu suporte oficial: support.google.com/chrome/answer/187443. Depois, realiza uma análise completa com um antivírus ou antimalware de confiança; ferramentas como Malwarebytes Eles geralmente oferecem digitalizações capazes de detectar artefatos deste tipo de campanhas. Muda as senhas que armazenavam no navegador e ativa a verificação em dois passos nas suas contas mais sensíveis.
Se você era usuário de alguma das carteiras assinaladas, considera que a frase semente poderia ter sido comprometida. O mais prudente é transferir os fundos para novas direcções geradas por uma carteira que não tenha usado as chaves comprometidas, preferencialmente empregando uma carteira física (hardware wallet) se a quantidade o justificar. Consulte as recomendações de segurança do fornecedor da sua carteira para os passos exatos a seguir; por exemplo, MetaMask mantém guias de segurança que podem ajudá-lo a recuperar a proteção dos seus ativos: metamask.io - segurança.
Este incidente mostra vários problemas estruturais: a facilidade com que extensões legítimas podem mudar de proprietário, a venda de extensões em mercados secundários e a elevada potência que têm as permissões do navegador quando usadas para fins maliciosos. Em muitos casos, os atacantes não precisam romper criptografia sofisticada: basta enganar o usuário para executar uma atualização fraudulenta ou para entregar sua frase semente.
Para reduzir o risco no futuro, convém rever com mais cuidado as extensões que instalas, limitar seu número e privilegiar aquelas de desenvolvedores com reputação conhecida. Também é recomendável rever periodicamente as permissões que cada extensão solicita e eliminar as que pedem acesso amplo sem uma razão clara. As políticas do Chrome Web Store Existem para proteger o usuário, mas não são infalívels: a vigilância e a prudência individual permanecem essenciais.
Em resumo, o QuickLens passou de ser uma ferramenta útil para um perigo real após uma mudança de controle e uma atualização maliciosa. A remoção do Google e as análises públicas têm detido a campanha em certa medida, mas as consequências para os usuários afetados podem ser graves. Se você foi usuário da extensão: elimínala, escanea sua equipe, muda senhas e, se você gerencia criptomoedas, assume a possibilidade de que as chaves estejam comprometidas e move seus fundos para uma carteira segura.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...