Duas extensões populares do Chrome, QuickLens e ShotBird, passaram a espionar usuários após atualizações realizadas por terceiros. Cerca de 7.800 pessoas foram impactadas sem alerta prévio, com coleta de dados e execução de comandos remotos.
As extensões mantinham suas funções, mas implantaram códigos maliciosos que capturavam informações pessoais, desativavam mecanismos de segurança e induziam ao download de programas perigosos. Os ataques exploraram a confiança em extensões reconhecidas, comprometendo a segurança dos usuários.
Usuários das extensões devem removê-las imediatamente e revisar seus complementos para evitar riscos semelhantes. A ação preventiva é essencial para proteger dados e evitar invasões.
Após atualizações recentes, duas extensões do Google Chrome passaram a espionar seus usuários. As extensões QuickLens e ShotBird, somando cerca de 7.800 usuários, receberam atualizações maliciosas sem aviso prévio. O problema começou quando o desenvolvedor original transferiu a propriedade destes complementos, que tinham o selo “Featured” da Chrome Web Store, para terceiros.
A extensão QuickLens, que oferecia buscas via Google Lens na tela, manteve suas funções normais, mas passou a desativar o mecanismo de segurança Content Security Policy. Isso permitiu que scripts externos fossem executados livremente. Além disso, coletava informações do dispositivo, como país e sistema operacional, enviando esses dados para um servidor controlado pelo invasor. A cada cinco minutos, consultava esse servidor para executar comandos remotos.
O ShotBird, usado para capturar telas longas, usava uma técnica conhecida como ClickFix. A extensão exibia um falso aviso para atualizar o navegador, direcionando o usuário a baixar um programa malicioso chamado “googleupdate.exe”. Este arquivo capturava tudo que era digitado, incluindo senhas e dados bancários, além de coletar senhas salvas e histórico do navegador.
Essa forma de ataque usa a confiança adquirida pelas extensões reconhecidas para distribuir código malicioso a usuários existentes, caracterizando um problema conhecido como cadeia de fornecimento comprometida.
Se você utiliza alguma dessas extensões, é recomendável removê-las imediatamente e revisar todas as extensões instaladas para evitar riscos semelhantes.
Via Tecmundo
