){kind=link}
Após atualizações, duas extensões do Google Chrome passaram a espionar seus usuários. O alerta foi publicado nesta semana pela empresa de segurança Annex Security e pelo grupo de pesquisa monxresearch-sec, que identificaram o comportamento malicioso nas extensões QuickLens e ShotBird.
Juntas, as duas extensões somavam cerca de 7.800 usuários instalados. Todos eles receberam as atualizações comprometidas sem qualquer aviso.
smart_display
Nossos vídeos em destaque
Quais são as extensões afetadas?
Extensões são pequenos programas que se instalam dentro do navegador para adicionar funcionalidades extras. Nesse contexto, as afetadas são: o QuickLens, que permitia fazer buscas usando o Google Lens diretamente na tela, e o ShotBird, usado para capturar capturas de tela longas e criar imagens para publicar no X, antigo Twitter.
Ambas foram criadas por um desenvolvedor chamado “Akshay Anu S”. As duas tinham o selo “Featured” da Chrome Web Store, uma marcação que o Google usa para indicar extensões consideradas confiáveis e de qualidade.
O problema começou quando o desenvolvedor original transferiu a propriedade das extensões para outras pessoas.
Como o ataque começou?
O QuickLens foi colocado à venda em uma plataforma chamada ExtensionHub em outubro de 2025, apenas dois dias depois de ter sido publicado na loja do Chrome. Em fevereiro de 2026, a titularidade da extensão foi transferida para uma conta chamada “support@doodlebuggle.top”.
Poucos dias depois, em 17 de fevereiro, uma atualização maliciosa foi enviada para todos os usuários que já tinham a extensão instalada.
O ShotBird passou por processo semelhante. O complemento foi repassado para um novo proprietário no mesmo período e também recebeu uma atualização com código malicioso embutido.
Os pesquisadores avaliaram que o mesmo grupo está por trás dos dois ataques. A infraestrutura técnica usada nas duas extensões é idêntica, o que indica uma operação coordenada.
O que o código malicioso faz
A atualização do QuickLens manteve todas as funções originais intactas. Para o usuário, nada mudou. Por baixo dos panos, porém, a extensão passou a executar três funções novas sem qualquer aviso.
A primeira é a remoção de barreiras de segurança do navegador. O Chrome possui um mecanismo chamado Content Security Policy, que impede que páginas da web carreguem scripts de fontes não autorizadas.
A extensão maliciosa desativava esse mecanismo em todas as páginas visitadas, abrindo caminho para que código externo fosse executado livremente.
A segunda é a coleta de informações sobre o dispositivo. A extensão identificava o país do usuário, o sistema operacional e o modelo do navegador e enviava esses dados para um servidor controlado pelos atacantes.
A terceira é a execução remota de código. A cada cinco minutos, a extensão consultava esse servidor externo em busca de instruções. Se houvesse um novo script JavaScript disponível, ele era armazenado no navegador e executado em cada página que o usuário acessasse.
O código malicioso nunca ficava visível nos arquivos da extensão em si. Ele chegava de fora e só existia durante a navegação, o que tornava a detecção por análise tradicional praticamente impossível.
O truque do ShotBird
O ShotBird usava uma abordagem diferente, mas com o mesmo objetivo final. Em vez de executar o código diretamente, a extensão exibia um aviso falso de atualização do Google Chrome.
Ao clicar no aviso, o usuário era levado a uma página que exibia instruções para abrir o gerenciador de comandos do Windows, o “cmd.exe”, e colar um código que baixava um arquivo chamado “googleupdate.exe” no computador.
Essa técnica tem um nome no ambiente de segurança digital. É chamada de ClickFix, e consiste em enganar a vítima para que ela mesma execute o programa malicioso, sem que nenhum sistema de proteção precise ser contornado.
Depois de instalado, o programa capturava tudo que o usuário digitava em campos de texto, incluindo senhas, números de cartão de crédito, PINs e documentos de identificação. Ele também coletava dados já salvos no Chrome, como senhas armazenadas, histórico de navegação e informações de outras extensões instaladas.
Por que uma extensão “confiável” é um alvo
O modelo de ataque explorado aqui é um dos mais difíceis de combater. Uma extensão que já passou pela revisão do Google, que já acumulou usuários reais e que já tem um selo de qualidade é inerentemente mais confiável do que uma nova.
Ao comprar ou receber a propriedade de uma extensão já estabelecida, um atacante herda toda essa confiança. Os usuários existentes recebem a atualização maliciosa automaticamente, sem precisar instalar nada de novo.
“Este é o problema da cadeia de fornecimento de extensões em poucas palavras”, disse a Annex Security em seu relatório. “Uma extensão funcional muda de mãos, e o novo proprietário envia uma atualização maliciosa para todos os usuários existentes.”
O que fazer agora
Se você tinha o QuickLens ou o ShotBird instalados, a recomendação é removê-los imediatamente. O QuickLens já foi retirado da Chrome Web Store, mas o ShotBird ainda estava disponível no momento da publicação deste texto.
Além disso, vale revisar todas as extensões instaladas no seu navegador. Extensões que você não usa mais ou que não reconhece devem ser removidas. Manter apenas o que é necessário reduz a superfície de exposição a esse tipo de ataque.