Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware QuickLens - Tela de pesquisa com extensão maliciosa do...

QuickLens - Tela de pesquisa com extensão maliciosa do Google Lens

Por Mezo em Malware, Ladrões
Traduzir Para:

A extensão para navegador QuickLens - Search Screen with Google Lens foi originalmente promovida como uma ferramenta prática para pesquisar imagens na tela, traduzir conteúdo e obter informações sobre produtos por meio de consultas visuais. Apesar de sua aparência e funcionalidade legítimas, a extensão acabou se tornando uma séria ameaça à segurança cibernética. Investigações revelaram que o software continha scripts maliciosos capazes de coletar informações confidenciais e lançar ataques de engenharia social ClickFix em sistemas infectados.

Inicialmente, a extensão possuía uma grande base de usuários e gozava de ampla confiança. No entanto, uma mudança crítica ocorreu em fevereiro de 2026, quando a extensão foi vendida em uma loja de extensões de navegador e assumida por um novo proprietário que operava sob o endereço de e-mail 'support@doodlebuggle.top' e o nome da empresa LLC Quick Lens. Pouco depois da aquisição, uma política de privacidade suspeita foi introduzida, seguida pelo lançamento de uma atualização maliciosa distribuída a todos os usuários.

Atualização maliciosa distribuída por canais oficiais

Como a extensão já estava instalada em milhares de usuários, a atualização maliciosa se espalhou rapidamente. O mecanismo de atualização automática da Chrome Web Store distribuiu a versão comprometida diretamente para as instalações existentes, sem exigir interação adicional do usuário.

A versão atualizada solicitou extensas permissões do navegador, permitindo monitorar o comportamento de navegação e modificar a atividade do site. Essas permissões possibilitaram que a extensão removesse proteções de segurança essenciais normalmente aplicadas pelos sites. Salvaguardas projetadas para bloquear scripts maliciosos, impedir o enquadramento de sites e mitigar certas técnicas de ataque foram desativadas, facilitando significativamente a execução de código malicioso injetado em qualquer página visitada pela vítima.

Comunicação persistente com infraestrutura de comando e controle

Após a instalação, a extensão comprometida estabeleceu comunicação com um servidor remoto de Comando e Controle (C2). O malware gerou um identificador único para cada usuário infectado e coletou informações ambientais, como localização geográfica, tipo de navegador e sistema operacional.

A extensão mantinha comunicação constante com o servidor remoto, enviando solicitações a cada cinco minutos. Essas verificações regulares permitiam que os atacantes enviassem novas instruções, atualizassem cargas maliciosas ou iniciassem ações de ataque adicionais em sistemas comprometidos.

ClickFix: Engenharia Social e Alertas de Atualização Falsos

A versão maliciosa do QuickLens também implementava técnicas agressivas de engenharia social. Ela tinha a capacidade de injetar scripts em qualquer página da web visitada pela vítima, permitindo a exibição de notificações fraudulentas de atualizações do Google.

Esses alertas enganosos foram projetados para imitar avisos legítimos de atualização de software. Na realidade, faziam parte de um ataque do tipo ClickFix, uma técnica que manipula os usuários para que executem comandos maliciosos ou baixem malware adicional. Ao apresentar os alertas em vários sites, os atacantes aumentaram a probabilidade de as vítimas confiarem no aviso e seguirem as instruções maliciosas.

Carteira de criptomoedas e recursos de proteção contra roubo de dados

Uma das funções mais perigosas da extensão comprometida envolvia a extração de criptomoedas e dados sensíveis do usuário. Os scripts maliciosos incorporados verificavam os navegadores em busca de carteiras de criptomoedas instaladas e tentavam extrair informações confidenciais, como frases-semente das carteiras, credenciais de autenticação e dados sensíveis de formulários.

O malware tinha como alvo específico as seguintes plataformas de carteiras de criptomoedas:

  • Argônio
  • Mochila
  • Carteira Binance Chain
  • Carteira Brave
  • Carteira Coinbase
  • Êxodo
  • MetaMask
  • Fantasma
  • Solflare
  • Carteira de confiança
  • WalletConnect

Além do roubo de criptomoedas, a extensão era capaz de coletar uma ampla gama de dados sensíveis inseridos em sites. Isso incluía credenciais de login, informações de pagamento e outros dados pessoais transmitidos por meio de formulários online.

Acesso a contas online e plataformas de negócios

Análises adicionais revelaram que a extensão maliciosa podia acessar e extrair informações de diversas plataformas online amplamente utilizadas. Essas capacidades ampliaram o potencial de dano, que passou a afetar não apenas usuários individuais, mas também empresas e criadores de conteúdo.

As funcionalidades de coleta de dados incluíam:

  • Leitura de dados de e-mail em caixas de entrada do Gmail
  • Coletando informações da conta de publicidade do Gerenciador de Negócios do Facebook
  • Recuperação de dados analíticos e operacionais de canais do YouTube

Essa funcionalidade criou riscos significativos para organizações que gerenciam campanhas de marketing, contas financeiras ou plataformas de mídia online por meio dos navegadores afetados.

Remoção de extensões e implicações de segurança

Após a descoberta da atividade maliciosa, o Google removeu e desativou a extensão QuickLens - Search Screen with Google Lens da Chrome Web Store. Apesar dessa ação, sistemas que tinham a extensão instalada anteriormente podem permanecer vulneráveis caso o software ainda esteja presente.

Os usuários afetados devem desinstalar imediatamente a extensão e verificar seus sistemas em busca de possíveis comprometimentos. Recomenda-se fortemente a alteração de credenciais, a verificação da segurança da carteira e a realização de varreduras no sistema.

O incidente do QuickLens destaca os crescentes riscos de segurança associados às extensões de navegador. Mesmo softwares que começam como ferramentas legítimas podem se tornar uma ameaça quando a propriedade é alterada e atualizações maliciosas são distribuídas por meio de canais oficiais de atualização. Este caso demonstra como aplicativos confiáveis podem ser usados como armas para burlar controles de segurança, roubar dados confidenciais e realizar ataques de engenharia social em larga escala.

Tendendo

Um Método Atualizado Para Bloquear os Vírus de...

Segurança do Computador
Um vírus de computador é um programa de computador que não apenas soa desagradável, mas também é perigoso de se ter, não importa o tipo de vírus que ele seja, spyware, malware, adware, etc.. Quando um novo vírus de computador invade o mundo online da informática, a probabilidade de que o software anti-vírus do usuário seja capaz de ser eficaz o suficiente para tornar impotente esse malware no...

Mais visto

Carregando...