A loja de extensões do navegador da Google acaba de perder mais um inquilino. A extensão "QuickLens - Search Screen with Google Lens", que outrora foi bastante popular e até recebeu um distintivo de destaque da empresa, foi banida após ter sido apanhada a distribuir software malicioso e a tentar roubar fundos e informações aos seus milhares de utilizadores.
De ferramenta útil a pesadelo de segurança
A QuickLens começou a sua vida como uma ferramenta perfeitamente legítima, permitindo aos utilizadores fazerem pesquisas de imagem diretamente no Google Chrome. Chegou a acumular cerca de sete mil instalações ativas. No entanto, tudo mudou no início de fevereiro de 2026, quando o programador original a vendeu numa plataforma de comércio de extensões a terceiros.
O novo proprietário registou a ferramenta sob uma entidade fantasma e com um endereço de correio eletrónico obscuro. Pouco mais de duas semanas depois, no dia 17 de fevereiro, lançou a versão 5.8. Segundo os investigadores de segurança da Annex Security, esta atualização introduziu um código perigoso que abriu as portas a ataques informáticos de larga escala, removendo as barreiras de proteção do navegador.
Falsas atualizações e roubo de criptomoedas
Com o caminho livre, a extensão comunicava com um servidor remoto a cada cinco minutos, recebendo instruções e recolhendo informações detalhadas sobre a máquina da vítima. O impacto mais visível para os utilizadores foi a constante interrupção da navegação. O código injetava mensagens falsas a pedir atualizações urgentes do navegador em praticamente qualquer página visitada, o que gerou uma onda de queixas por parte de utilizadores aflitos no Reddit.
Se um utilizador caísse na armadilha e clicasse para atualizar, era desencadeado um esquema conhecido como ataque ClickFix. No sistema operativo da Microsoft, isto resultava na transferência de um ficheiro executável disfarçado que operava comandos escondidos para instalar malware mais profundo no sistema.
Para agravar a situação, a ferramenta estava programada para detetar carteiras de criptomoedas conhecidas, como a MetaMask, Phantom, Coinbase Wallet e Trust Wallet, entre outras. Se as encontrasse, tentava extrair as frases de recuperação para esvaziar os fundos das vítimas. Além disso, também recolhia credenciais de acesso, dados de pagamento, conteúdos de caixas de correio eletrónico e informações de contas publicitárias e canais de vídeo. Existem ainda alegações de que os utilizadores de computadores da Apple seriam alvo de um software malicioso específico para o seu sistema operativo, focado no roubo de informações.
O que deves fazer agora
A gigante das pesquisas já agiu e removeu a extensão da sua loja oficial, desativando-a automaticamente nos computadores afetados. Se chegaste a ter esta ferramenta instalada, deves garantir que a mesma foi completamente apagada do teu navegador.
É altamente recomendável que faças uma verificação completa ao sistema com um bom antivírus e alteres as tuas palavras-passe principais, especialmente as que estavam guardadas no navegador. Se tinhas alguma das carteiras digitais mencionadas instaladas, o passo mais seguro é transferir imediatamente os teus fundos para uma nova carteira limpa.
Nenhum comentário
Seja o primeiro!