QuickLens e ShotBird mantiveram aparência legítima, mas receberam atualizações capazes de injetar JavaScript remoto, contornar proteções do navegador e capturar dados sensíveis.
| Componente | Extensões do Chrome QuickLens - Search Screen with Google Lens, ID kdenlnncndfnhkognokgfpabgkgehodd, e ShotBird - Scrolling Screenshots, Tweet Images & Editor, ID gengfhhkjekmlejbhmmopegofnoifnjp. |
| Vetor | Transferência de propriedade seguida de atualização maliciosa distribuída pela cadeia normal de extensões do navegador, com JavaScript remoto entregue por servidor externo e iscas de falsa atualização do Chrome. |
| Impacto | Injeção de código em páginas visitadas, remoção de cabeçalhos de segurança, captura de dados digitados em formulários, acesso a dados armazenados no Chrome e execução de script no host Windows em pelo menos um caso observado. |
| Prioridade | Remover as extensões citadas, auditar extensões instaladas em ambientes corporativos, revisar eventos de navegador e endpoint associados a atualização falsa, execução de interpretador de comandos e download de binário chamado googleupdate.exe. |
| Artefatos | QuickLens tinha cerca de 7.000 usuários; ShotBird tinha cerca de 800 usuários; ShotBird permanecia disponível na Chrome Web Store no momento descrito, enquanto QuickLens já não estava disponível para download. |
| IoCs | Domínios citados devem ser tratados de forma defangada em investigação: jsonkeeper[.]com, chroomewedbstorre-detail-extension[.]com, omnibar[.]ai, go[.]omnibar[.]ai e ansiblealgorithm[.]com. |
Duas extensões do Google Chrome, QuickLens e ShotBird, passaram a apresentar comportamento malicioso depois de mudanças de proprietário. O ponto central do caso não é uma vulnerabilidade clássica no navegador, mas uma falha de confiança na cadeia de distribuição de extensões: um complemento funcional, já instalado por usuários e com aparência legítima, muda de controle e recebe uma atualização capaz de executar código remoto dentro do contexto de navegação. Esse modelo amplia o risco porque o canal de atualização é o mesmo usado para manter extensões legítimas, reduzindo a chance de o usuário perceber a alteração antes que o novo código seja aplicado.
QuickLens foi associada originalmente ao desenvolvedor akshayanuonline at gmail[.]com e depois passou a constar com o proprietário support at doodlebuggle[.]top na listagem da Chrome Web Store em 1 de fevereiro de 2026. A atualização maliciosa descrita para 17 de fevereiro de 2026 manteve a funcionalidade anterior, mas adicionou lógica para manipular respostas HTTP, receber JavaScript de um servidor externo e executar esse conteúdo em páginas carregadas pelo usuário. ShotBird seguiu um padrão semelhante de risco após transferência para loraprice198865 at gmail[.]com, com entrega de JavaScript por callbacks diretos e uso de uma falsa atualização do Chrome para induzir execução no Windows.
O impacto técnico se divide em duas camadas. Na primeira, a extensão opera dentro do navegador, observando páginas, alterando controles de segurança e coletando dados digitados ou armazenados. Na segunda, a campanha tenta sair do limite do navegador por meio de uma página no estilo ClickFix, que orienta o usuário a abrir o diálogo de execução do Windows e acionar um comando operacional omitido. Esse fluxo resultou no download de um executável chamado googleupdate.exe em hosts Windows, elevando o incidente de abuso de extensão para possível comprometimento de endpoint.
No caso da QuickLens, a atualização maliciosa adicionou capacidade de remover cabeçalhos de segurança, incluindo X-Frame-Options, de respostas HTTP. Essa alteração enfraquece controles que normalmente limitam enquadramento, carregamento e execução de conteúdo entre origens. O mesmo código também interfere em proteções baseadas em Content Security Policy, permitindo que scripts injetados façam requisições para outros domínios em condições que a política da página deveria restringir. Para defesa, esse detalhe é importante porque a atividade pode não aparecer apenas como uma extensão suspeita; ela também pode se manifestar como tráfego anômalo de páginas legítimas que passam a executar conteúdo externo.
A extensão coletava informações de ambiente, incluindo país do usuário, navegador e sistema operacional, e consultava um servidor externo a cada cinco minutos. O JavaScript retornado era gravado no armazenamento local do navegador e executado em cada carregamento de página. A técnica usava a criação de um elemento de imagem oculto de 1×1 pixel, com a cadeia JavaScript posicionada no atributo onload. Assim, o payload final não precisava estar presente nos arquivos estáticos da extensão, ficando disponível apenas em tempo de execução. Isso dificulta análises baseadas somente no pacote publicado, porque o comportamento crítico depende de resposta remota e estado persistido localmente.
ShotBird apresentou uma variação do mesmo conceito. Em vez de usar o elemento de imagem oculto como gatilho de execução, a extensão usava callbacks diretos para entregar JavaScript. O conteúdo remoto exibia uma falsa atualização do Google Chrome. Quando o usuário interagia com o aviso, era direcionado a uma página no estilo ClickFix, que explorava engenharia social para levar à abertura do diálogo de execução do Windows, ao acionamento de comando operacional omitido e à inserção de um comando PowerShell omitido por segurança. O efeito defensivamente relevante é o download de googleupdate.exe e a tentativa de execução fora do navegador.
Depois da execução, a cadeia observada incluía captura de dados digitados em elementos HTML como input, textarea e select. Isso coloca em risco credenciais, PINs, dados de cartão, tokens e identificadores governamentais quando esses valores são inseridos em páginas visitadas. O malware também foi descrito como capaz de coletar dados armazenados no Chrome, incluindo senhas, histórico de navegação e informações relacionadas a extensões. A atribuição entre QuickLens e ShotBird foi avaliada como conectada pelo uso de padrão semelhante de arquitetura de comando e controle, iscas ClickFix no contexto de navegação e transferência de propriedade como caminho de infecção.
A superfície exposta envolve usuários que instalaram QuickLens ou ShotBird antes ou depois da troca de proprietário, porque o mecanismo de atualização da extensão pode levar código novo a instalações existentes. QuickLens aparece com cerca de 7.000 usuários e ShotBird com cerca de 800 usuários. A presença anterior de sinalização de destaque em extensões funcionais aumenta o risco operacional: equipes de TI podem ter permitido o complemento por reputação aparente, sem reavaliar mudanças recentes de proprietário, permissões e comportamento de rede.
O caso também se conecta a uma tendência maior de abuso de extensões Chromium. Foram citadas extensões disfarçadas de assistentes de IA para coletar históricos de conversas com LLMs e dados de navegação, uma extensão chamada lmΤoken Chromophore que imitava imToken para roubar frases-semente de criptomoedas, extensões usadas para sequestro de afiliados e exfiltração de dados, além de complementos que alteravam página inicial e provedor de busca por meio da API chrome_settings_overrides. Esses exemplos não devem ser tratados como um único incidente homogêneo, mas mostram que extensões de produtividade, IA, captura de tela, VPN, bloqueio de anúncios e busca são alvos recorrentes para monetização abusiva e coleta de dados.
- Navegadores Chrome ou Chromium com QuickLens ID
kdenlnncndfnhkognokgfpabgkgehoddinstalado. - Navegadores Chrome ou Chromium com ShotBird ID
gengfhhkjekmlejbhmmopegofnoifnjpinstalado. - Hosts Windows nos quais usuários tenham interagido com falsa atualização do Chrome e observado download de
googleupdate.exe. - Ambientes corporativos que permitem extensões por reputação histórica, sem controle de transferência de propriedade, permissões e atualização.
- Usuários expostos a extensões de IA, busca, VPN, bloqueio de anúncios, captura de tela ou produtividade com permissões amplas de leitura e alteração de páginas.
A investigação deve começar pelo inventário de extensões instaladas. Em ambiente gerenciado, a defesa precisa correlacionar ID da extensão, versão instalada, data de instalação, data de última atualização, permissões concedidas e conta de usuário. Mudanças recentes de proprietário não aparecem necessariamente como evento de segurança no endpoint, por isso o controle precisa combinar política de navegador, listas permitidas, telemetria de extensões e revisão periódica de complementos com permissões de leitura e modificação em todas as páginas.
No endpoint Windows, a cadeia ClickFix deve ser caçada por eventos de abertura do diálogo de execução, criação de comando operacional omitido, acionamento de PowerShell por interação de usuário e download de executável com nome semelhante a atualização do navegador. O comando exato não deve ser replicado; a análise deve se concentrar nos processos filhos, diretório de gravação, reputação do binário, conexões de rede subsequentes e persistência associada. Em proxy, EDR e DNS, procure consultas recorrentes originadas do navegador para infraestrutura externa desconhecida, especialmente padrões periódicos compatíveis com consulta a cada cinco minutos.
No navegador, sinais úteis incluem alterações inesperadas em armazenamento local, execução de JavaScript remoto, requisições para domínios não relacionados ao site visitado, páginas que exibem falso aviso de atualização e manipulação de cabeçalhos de segurança. A remoção de X-Frame-Options e o enfraquecimento de Content Security Policy não são eventos triviais para o usuário final, mas podem aparecer em depuração de tráfego, instrumentação de proxy, logs de extensão ou análise dinâmica em sandbox de navegador. Em casos de credenciais potencialmente expostas, a resposta deve considerar os sites acessados durante a janela de infecção, não apenas o momento de instalação da extensão.
- Inventariar extensões por ID, versão, permissões, data de instalação e data de atualização.
- Procurar tráfego periódico do navegador para servidores externos sem relação com os sites acessados.
- Verificar eventos de comando operacional omitido, PowerShell e criação de arquivo
googleupdate.exeiniciados após interação com falso aviso de atualização. - Revisar armazenamento local do navegador para JavaScript persistido por extensões suspeitas.
- Buscar alterações de página inicial e provedor de busca feitas por
chrome_settings_overrides. - Tratar domínios defangados relacionados a phishing, redirecionamento e busca como indicadores para triagem, sem acessar URLs ativas.
A ação imediata é remover QuickLens e ShotBird de navegadores afetados e bloquear sua reinstalação por política corporativa. A remoção isolada não encerra a resposta quando houve interação com falsa atualização ou execução no Windows. Nesses casos, o host precisa ser analisado como possível endpoint comprometido: coletar árvore de processos, artefatos de download, conexões, persistência, credenciais usadas durante a janela de risco e dados sensíveis digitados em páginas acessadas. Senhas, tokens e sessões expostas devem ser revogados ou rotacionados conforme criticidade do sistema.
Para reduzir recorrência, extensões devem ser tratadas como software de terceiros com cadeia de suprimentos própria. Permitir apenas extensões aprovadas, bloquear instalação por usuários quando possível, revisar permissões de amplo escopo e monitorar mudanças de proprietário são controles mais efetivos do que confiar apenas em popularidade ou selos de destaque. Extensões que leem e alteram dados em todos os sites, interceptam busca, modificam cabeçalhos, acessam histórico, senhas ou conteúdo de páginas devem passar por avaliação mais rígida, mesmo quando oferecem função aparentemente simples.
Em ambientes com uso corporativo de LLMs e navegadores gerenciados, a exposição ganha relevância adicional porque extensões maliciosas podem coletar histórico de conversas, prompts, respostas e dados de navegação usados em fluxos de trabalho internos. A mitigação deve incluir política específica para extensões de IA e automação, revisão de permissões do Model Context Protocol quando aplicável, bloqueio de ferramentas não verificadas e orientação para que usuários reportem avisos de atualização do navegador exibidos dentro de páginas web. Atualizações legítimas do Chrome devem ocorrer pelo mecanismo oficial do navegador ou pelo gerenciamento corporativo, não por páginas que pedem execução manual de comandos.
- Remover QuickLens e ShotBird e bloquear os IDs das extensões em política de navegador.
- Auditar todos os navegadores gerenciados para extensões desconhecidas, transferidas recentemente ou com permissões amplas.
- Investigar endpoints que baixaram ou executaram
googleupdate.exeapós falso aviso de atualização. - Rotacionar credenciais, tokens e sessões usados durante a janela de possível coleta de dados.
- Restringir instalação lateral e extensões de produtividade não verificadas.
- Criar lista permitida de extensões e revisar periodicamente proprietário, permissões, comportamento de rede e necessidade de negócio.
0 Comentários