Uma extensão popular do Google Chrome, chamada "QuickLens - Search Screen with Google Lens", foi removida da Chrome Web Store após ter sido comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários. O incidente, descoberto por pesquisadores de segurança, ilustra uma nova tática de ataque batizada de "ClickFix", que explora a confiança do usuário em extensões legítimas.
Descoberta e escopo do ataque
A extensão QuickLens, que prometia funcionalidades de busca por imagem usando o Google Lens, foi infectada por código malicioso. A versão comprometida foi carregada na loja oficial do Chrome, onde acumulou milhares de instalações antes de ser detectada e removida. O ataque não se limitou a injetar anúncios ou minerar criptomoedas, mas tinha como alvo direto as carteiras digitais dos usuários.
Vetor e exploração: o ataque ClickFix
O malware incorporado à extensão operava através de uma técnica chamada "ClickFix". Quando um usuário visitava uma página da web contendo um script específico, a extensão maliciosa interceptava a interação. Ela então manipulava a interface do usuário para substituir endereços de carteira de criptomoedas legítimos por endereços controlados pelos atacantes durante operações de transferência.
O processo era furtivo: a vítima, ao tentar realizar uma transação, via o endereço correto na interface, mas, no momento do clique para confirmar, o código malicioso alterava silenciosamente o destino dos fundos. Essa manipulação em tempo real dificultava a detecção pelo usuário, que só perceberia o golpe após a conclusão da transação irreversível.
Impacto e alcance
Embora o número exato de vítimas e o montante total roubado ainda não tenham sido divulgados publicamente, a extensão tinha uma base de usuários significativa, indicando um potencial impacto amplo. O fato de o vetor ser uma extensão disponível na loja oficial do Chrome quebra uma camada fundamental de confiança, pois os usuários tendem a considerar esses canais como seguros.
O incidente serve como um alerta severo sobre os riscos associados a extensões de navegador, mesmo aquelas distribuídas por marketplaces oficiais. A cadeia de suprimentos de software, incluindo o processo de revisão das lojas de extensões, mostra-se um alvo viável para atacantes.
Reação e recomendações
O Google removeu a extensão QuickLens da Chrome Web Store após ser notificado. Usuários que ainda a tiverem instalada devem desinstalá-la imediatamente e verificar suas transações de criptomoedas recentes em busca de atividades não autorizadas.
Especialistas recomendam as seguintes ações de mitigação:
- Revisar extensões instaladas: Remover quaisquer extensões não essenciais ou de desenvolvedores não confiáveis.
- Verificar permissões: Extensões que solicitam permissões excessivas, como "ler e alterar todos os dados nos sites que você visita", representam um risco maior.
- Monitorar transações: Ao realizar transações com criptomoedas, verificar manualmente os endereços de destino em múltiplas etapas, preferencialmente copiando e colando a partir de uma fonte confiável, e não clicando em elementos dinâmicos da página.
- Atualizar e escanear: Manter o navegador e o antivírus atualizados e realizar varreduras periódicas.
Implicações para o ecossistema de segurança
O caso QuickLens evidencia a sofisticação crescente dos ataques de "supply chain" que visam componentes de software aparentemente benignos. A tática ClickFix, em particular, demonstra uma evolução na engenharia social, explorando a automação e a velocidade da interação do usuário para cometer fraudes financeiras diretas. Para a indústria, o desafio permanece em melhorar os processos automatizados e manuais de revisão nas lojas de aplicativos e extensões, um equilíbrio difícil entre agilidade e segurança.