Os usuários do Google estão bem cientes das constantes ameaças de cibercriminosos, que podem atingir serviços como Gmail, Cromo e muito mais. Recentemente, novas formas de ataques têm gerado preocupações, destacando a utilização de ferramentas maliciosas por parte dos invasores.
Se os avisos sobre fraudes como o falso “Check-up de Segurança da Conta Google” já eram preocupantes, agora vem à tona a questão de uma extensão do Chrome, que antes era legítima e permitia pesquisas eficientes com a Lente do Google, mas que foi comprometida e agora serve como ferramenta de roubo de senhas. Vamos explorar os detalhes desse incidente alarmante.
Hackers Transformam Ferramenta Genuína do Chrome em Plataforma de Ataque
O Google Chrome é, sem dúvida, o navegador mais usado do mundo, com projeções de que em 2026 chegará à marca de 4 bilhões de usuários. Essa ampla popularidade torna o navegador um alvo natural para cibercriminosos, algo que não surpreende o Google, que investe pesadamente em segurança para proteger seus serviços.
No entanto, algumas ameaças têm conseguido ultrapassar essas camadas de defesa, especialmente no que se refere às extensões do Cromo. Um exemplo recente envolve a descoberta de 30 extensões de assistentes de IA maliciosas. Neste caso em particular, a extensão foi notoriamente insidiosa, pois abusou de uma ferramenta anteriormente confiável e legítima.
Conforme reportado pelo site Bleeping Computer, a extensão Lente Rápida, que tinha o selo de “recomendada” pelo Google, contava com 7.000 usuários e havia sido projetada para realizar buscas diretamente com a Lente do Google. Sua trajetória parecia tranquila até 17 de fevereiro, pouco mais de duas semanas após a venda do projeto, quando uma atualização maliciosa foi impulsionada pelo novo desenvolvedor. A versão 5.8 trouxe scripts nocivos que introduziram ataques do tipo ClickFix, além de funcionalidades voltadas para o roubo de informações.
O analista John Tuckner, da Annex Security, foi o primeiro a identificar esse problema associado à Lente Rápida. “Esse incidente é o resumo da vulnerabilidade na cadeia de suprimentos de extensões”, evidenciou Tuckner. “Uma extensão funcional, com credenciais respeitáveis, muda de proprietário e, em seguida, o novo dono envia uma atualização cheia de armadilhas para todos os usuários.”
Como as atualizações do Cromo são automáticas e dependem apenas de um aviso de permissão, o invasor conseguiu divulgar uma ferramenta de ataque efetiva, instalada automaticamente nos navegadores de todos os 7.000 usuários que confiavam naquela extensão. Essa atualização maliciosa incluiu recursos perigosos, como remoção de cabeçalhos de segurança, limpeza silenciosa de rastros digitais e execução remota de códigos através de técnicas sutis, como o carregamento de pixéis de imagem.
Google Interveio e Removeu a QuickLens da Chrome Web Store
O resultado foi alarmante: os usuários começaram a receber um bombardeio de alertas falsos de “Atualização do Google”. O verdadeiro intuito da ameaça era o roubo de credenciais de criptomoedas e endereços de carteiras digitais. Esse não é um caso isolado; extensões de navegador já foram comprometidas anteriormente, como evidenciado pelo incidente que afetou a Trust Wallet, resultando em um desvio de pelo menos US$ 7 milhões em criptoativos.
A equipe da Forbes prontamente contatou o Google em busca de esclarecimentos. A boa notícia é que a extensão comprometida QuickLens foi removida da Chrome Web Store e desativada automaticamente pelo Cromo, protegendo os usuários que a haviam instalado.
No entanto, a má notícia é que provavelmente não será o último exemplo de extensões legítimas se transformando em armadilhas perigosas. Portanto, as recomendações se mantêm: sempre atualize aplicativos e serviços de fontes confiáveis, acessando URLs conhecidas e seguras, e evite clicar em pop-ups ou links duvidosos.
*Matéria originalmente publicada em Forbes.com