Existe um perigo silencioso que pode estar escondido agora mesmo na barra de ferramentas do seu navegador. As extensões maliciosas do Chrome estão evoluindo rapidamente e um novo método de ataque tem preocupado especialistas em segurança digital: a compra de extensões legítimas por grupos maliciosos que transformam ferramentas populares em malware no navegador praticamente da noite para o dia.
O problema ganhou destaque após investigações revelarem que extensões conhecidas, como QuickLens e ShotBird, passaram a distribuir código malicioso após mudanças de propriedade. O que antes era um complemento aparentemente útil passou a atuar como um espião digital, coletando dados, redirecionando usuários e até tentando roubar credenciais.
Esse tipo de ataque é particularmente perigoso porque muitas dessas extensões eram bem avaliadas na Chrome Web Store e tinham milhares de usuários. Ou seja, elas conquistaram confiança ao longo do tempo, mas depois foram vendidas a desenvolvedores desconhecidos que alteraram completamente seu comportamento.
Para o usuário comum, tudo continua parecendo normal. A extensão continua com o mesmo nome, a mesma interface e as mesmas avaliações positivas. No entanto, por trás da atualização automática do navegador, um novo código pode transformar a ferramenta em um vetor de ataque.
E o cenário fica ainda mais preocupante com o crescimento de extensões que prometem recursos de inteligência artificial, mas que na verdade funcionam como mecanismos de coleta de dados ou espionagem digital.
Entenda como o golpe da transferência de propriedade funciona
O golpe começa de forma aparentemente legítima. Um desenvolvedor cria uma extensão útil para o navegador e, após conquistar popularidade e milhares de usuários, decide vender o projeto.
Até aí, nada necessariamente ilegal acontece. A venda de projetos de software é comum no mercado de tecnologia. O problema surge quando o comprador é uma empresa obscura ou um grupo de cibercriminosos.
Após adquirir a extensão, o novo proprietário publica uma atualização que inclui código malicioso, mas mantendo o nome, o histórico e a reputação do complemento.
Como o navegador atualiza extensões automaticamente, o malware é instalado sem que o usuário perceba.
Esse tipo de ataque é extremamente eficaz porque explora a confiança construída pela extensão original. Usuários dificilmente suspeitam de algo que já utilizam há meses ou anos.
Além disso, muitas dessas extensões possuem permissões amplas dentro do navegador, como acesso a todas as páginas visitadas, histórico de navegação e conteúdo de sites.
Na prática, isso significa que um atacante pode ter acesso a uma enorme quantidade de informações sensíveis.
O caso QuickLens e ShotBird
Entre os exemplos mais recentes estão as extensões QuickLens e ShotBird, que passaram por alterações suspeitas após mudanças de propriedade.
Pesquisadores de segurança identificaram que as atualizações dessas extensões passaram a incluir scripts ocultos capazes de carregar conteúdo remoto.
Uma das técnicas utilizadas para esconder esse comportamento foi o uso de GIFs invisíveis de 1×1 pixel. Esse tipo de arquivo minúsculo pode ser usado para disparar requisições externas sem chamar atenção.
Na prática, esse pequeno pixel funciona como um gatilho que ativa o carregamento de scripts hospedados em servidores externos.
Com isso, os operadores maliciosos conseguem alterar o comportamento da extensão sem precisar publicar novas versões na loja do navegador.
Esse método dificulta a detecção automática por sistemas de segurança e também reduz as chances de o usuário perceber que algo mudou.
Técnica ClickFix e roubo de credenciais
Outra técnica identificada em campanhas recentes envolve um método conhecido como ClickFix.
Nesse golpe, o usuário é redirecionado para uma página falsa que simula uma atualização do navegador ou um aviso de segurança.
A página instrui a vítima a executar comandos no sistema para “corrigir um erro”. Em alguns casos, o processo envolve copiar e colar comandos no PowerShell.
O problema é que esses comandos, na verdade, instalam malware no sistema ou abrem portas para controle remoto da máquina.
Uma vez comprometido, o computador pode ser usado para roubo de credenciais, sequestro de sessões de login e interceptação de dados sensíveis.
Lista de extensões perigosas para remover imediatamente
Especialistas em segurança recomendam verificar imediatamente a lista de extensões instaladas no navegador e remover qualquer ferramenta suspeita.
Algumas das extensões maliciosas do Chrome citadas em relatórios recentes incluem:
• QuickLens
• ShotBird
• lmToken Chromophore
• OmniBar AI
• SearchGPT Helper
• ChatGPT Assistant Pro
Algumas dessas extensões utilizam nomes que fazem referência direta a ferramentas populares de inteligência artificial para ganhar credibilidade.
Além disso, certos complementos usam IDs de extensão específicos que permitem identificá-los com precisão no navegador.
Para verificar isso, basta acessar a página de gerenciamento de extensões digitando: chrome://extensions
Em seguida, ative o modo desenvolvedor para visualizar o ID da extensão instalada.
Se você encontrar qualquer uma dessas ferramentas, a recomendação é removê-las imediatamente.
Também é aconselhável limpar dados do navegador e alterar senhas importantes, especialmente de contas de e-mail, redes sociais e serviços financeiros.
A nova face das ameaças: o perigo das extensões de IA
Outro ponto que preocupa especialistas em segurança é o crescimento de extensões de inteligência artificial falsas.
Com a popularidade de ferramentas como assistentes de escrita, geradores de código e chatbots, muitos usuários buscam complementos que prometem integrar IA diretamente ao navegador.
Criminosos têm explorado essa tendência criando extensões que se apresentam como assistentes baseados em IA, mas que na verdade funcionam como mecanismos de coleta de dados.
Essas ferramentas podem solicitar permissões amplas para acessar:
• conteúdo de páginas
• histórico de navegação
• dados inseridos em formulários
• conversas com chatbots
Em alguns casos, essas extensões são capazes de capturar históricos de conversas com sistemas de IA, incluindo prompts e respostas.
Isso pode expor informações sensíveis como códigos de programação, documentos internos e até dados corporativos.
O risco é especialmente alto para profissionais que utilizam IA para produtividade, desenvolvimento de software ou análise de dados.
Como se proteger e manter seu navegador seguro
Embora o cenário seja preocupante, algumas práticas simples podem reduzir significativamente o risco de infecção por malware no navegador.
A primeira medida é revisar regularmente as extensões instaladas. Muitos usuários acumulam complementos ao longo do tempo e acabam esquecendo que eles ainda estão ativos. Manter apenas extensões realmente necessárias já reduz bastante a superfície de ataque.
Outra dica importante é verificar o desenvolvedor da extensão na loja oficial. Mudanças repentinas de propriedade ou desenvolvedores desconhecidos podem ser sinais de alerta.
Também vale a pena analisar as permissões solicitadas pelo complemento. Uma ferramenta simples de captura de tela, por exemplo, não deveria precisar de acesso a todos os sites visitados. O navegador também oferece ferramentas de proteção integradas.
O Verificação de Segurança do Chrome permite identificar extensões potencialmente perigosas, vazamentos de senha e configurações inseguras. Executar essa verificação regularmente ajuda a manter o ambiente mais protegido.
Por fim, vale reforçar um alerta importante: não execute comandos sugeridos por páginas da web, especialmente quando envolvem o terminal do sistema ou ferramentas administrativas como PowerShell.
Esse tipo de instrução é frequentemente usado em ataques modernos para contornar sistemas de proteção. A melhor defesa continua sendo a atenção do usuário.
Agora é um bom momento para abrir o menu de extensões do seu navegador, revisar cada complemento instalado e remover qualquer ferramenta suspeita.
Se você conhece alguém que utiliza muitas extensões no navegador, compartilhe este alerta. Uma simples revisão pode evitar o roubo de dados ou a infecção por malware.
