A extensão para Chrome "QuickLens - Search Screen with Google Lens" foi removida da Chrome Web Store após ser comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários.
Originalmente, o QuickLens permitia aos usuários realizar buscas no Google Lens diretamente pelo navegador.
A extensão chegou a reunir cerca de 7 mil usuários e recebeu até um selo de destaque do próprio Google.
No entanto, em 17 de fevereiro de 2026, a versão 5.8 foi lançada com scripts maliciosos que introduziram ataques do tipo ClickFix e funcionalidades para roubo de informações.
Pesquisadores da Annex identificaram que a extensão mudou de dono recentemente, após ser oferecida à venda na ExtensionHub, mercado voltado para compra e venda de extensões.
Segundo a Annex, em 1º de fevereiro de 2026, o titular foi alterado para o e-mail [email protected], sob a empresa "LLC Quick Lens", e uma nova política de privacidade foi publicada em um domínio com funcionamento instável.
Pouco mais de duas semanas depois, a atualização maliciosa foi distribuída aos usuários.
A análise da Annex mostrou que a versão 5.8 requisitou novas permissões do navegador, como declarativeNetRequestWithHostAccess e webRequest.
Também passou a incluir um arquivo rules.json que removia cabeçalhos de segurança HTTP, como Content-Security-Policy (CSP), X-Frame-Options e X-XSS-Protection, de todas as páginas e frames — cabeçalhos essenciais para dificultar a execução de scripts maliciosos.
A atualização ainda estabelecia comunicação com um servidor de comando e controle (C2) no domínio api.extensionanalyticspro[.]top.
A extensão gerava um identificador UUID persistente, identificava o país da vítima pelo endpoint trace da Cloudflare, além do navegador e sistema operacional, e consultava o servidor C2 a cada cinco minutos para receber instruções.
A falha veio à tona após diversos usuários relatarem alertas falsos de atualização do Google em todas as páginas que visitavam.
"Nesse site aparece o tempo todo.
Pensei que fosse o Chrome desatualizado, mas mesmo após atualizar, continua aparecendo", comentou um usuário no Reddit.
A análise revelou que a extensão carregava vários scripts maliciosos enviados pelo servidor C2, usando um truque chamado "1x1 GIF pixel onload" para executar código em todas as páginas.
Como a extensão removia os cabeçalhos CSP, esse código injetado era executado mesmo em sites que normalmente bloqueiam essa ação.
O primeiro payload acessava o domínio google-update[.]icu, que exibia uma janela falsa de atualização do Google.
Ao clicar no botão, os usuários eram vítimas do ataque ClickFix, sendo induzidos a executar códigos prejudiciais em seus computadores.
Usuários de Windows baixavam um arquivo malicioso chamado "googleupdate.exe", com certificado digital emitido pela empresa "Hubei Da'e Zhidao Food Technology Co., Ltd."
Ao executar o arquivo, o malware iniciava comandos ocultos no PowerShell, que, por sua vez, se conectavam ao endereço drivers[.]solutions/META-INF/xuoa.sys usando um user agent personalizado chamado "Katzilla".
Entretanto, quando analisado, o segundo estágio não estava mais ativo.
Outro script malicioso entregue pelo servidor C2 tinha como alvo roubar carteiras de criptomoedas e credenciais.
A extensão detectava a presença de diversas wallets, incluindo MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Backpack, Brave Wallet, Exodus, Binance Chain Wallet, WalletConnect e Argon.
Ao identificar alguma delas, tentava roubar atividades, frases-semente e dados para sequestrar as carteiras e seus fundos.
Além disso, havia scripts para capturar credenciais de login, informações de pagamento e outros dados sensíveis inseridos em formulários.
Payloads adicionais eram usados para extrair conteúdos da caixa de entrada do Gmail, dados de contas de anúncios no Facebook Business Manager e informações de canais do YouTube.
Uma avaliação da página da extensão removida sugere que usuários de macOS teriam sido alvos do infostealer AMOS (Atomic Stealer), mas essa informação não foi confirmada de forma independente.
O Google removeu a extensão da loja oficial, e o Chrome passou a desativá-la automaticamente para usuários afetados.
Quem instalou o QuickLens deve garantir a remoção completa da extensão, fazer uma varredura no dispositivo para identificar malware e alterar as senhas de todas as contas armazenadas no navegador.
Usuários das carteiras de criptomoedas mencionadas precisam transferir os fundos para novas wallets para evitar perdas.
Esse caso não é isolado: no mês passado, a empresa Huntress descobriu uma extensão que causava travamentos no navegador e exibia falsos alertas para instalar o malware ModeloRAT por meio de ataques ClickFix.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...