Extensões ad blocker falsas instalam malwares

Uma nova campanha de phishing utiliza extensões falsas para o navegador Google Chrome com a finalidade de induzir usuários a executarem códigos maliciosos em seus computadores. O incidente, reportado em 19 de janeiro de 2026, faz parte de uma tática conhecida como ClickFix, que simula erros técnicos em páginas da internet para convencer as vítimas a copiarem e colarem comandos do Windows PowerShell em seus próprios terminais.

O ataque ocorre quando o usuário instala uma extensão que se apresenta como um bloqueador de anúncios. Uma vez instalada, a ferramenta monitora a navegação e, em sites específicos, injeta um código que causa o travamento da aba ativa ou exibe uma janela de erro. A mensagem apresentada afirma que o navegador encontrou um problema técnico e fornece um botão para “corrigir” o erro. Ao clicar, o sistema copia automaticamente um script para a área de transferência do Windows e instrui o usuário a abrir o prompt de comando para executá-lo.

Funcionamento técnico da campanha ClickFix

Os pesquisadores de segurança identificaram que o código malicioso utiliza funções de JavaScript para sobrecarregar a memória do navegador, resultando em uma interrupção forçada do processo. Este travamento é planejado para dar veracidade à mensagem de erro que aparece logo em seguida. O objetivo central dos agentes de ameaça é contornar as proteções nativas dos navegadores que impedem o download automático de arquivos executáveis, transferindo a responsabilidade da execução para a própria vítima por meio de engenharia social.

As estatísticas de monitoramento indicam que os scripts executados instalam malwares do tipo infostealer, projetados para extrair senhas, dados de cartões de crédito e cookies de sessão. A infraestrutura de comando e controle (C2) utilizada pelos invasores utiliza domínios registrados recentemente que mimetizam serviços de suporte técnico legítimos. A técnica de injeção de scripts em extensões permite que o ataque permaneça ativo mesmo após o reinício do computador, estabelecendo persistência no sistema do usuário.

Impactos no Google Chrome e medidas de remediação

A equipe de segurança do Google foi notificada sobre a presença dessas extensões na Chrome Web Store, resultando na remoção de versões identificadas como maliciosas. No entanto, variantes da ameaça continuam sendo distribuídas através de anúncios em mecanismos de busca e sites de streaming de vídeo. O relatório aponta que o uso do PowerShell como vetor de ataque permite que os criminosos realizem alterações nas configurações de segurança do Windows e desativem ferramentas de antivírus locais.

Para mitigar o risco, especialistas recomendam que usuários não executem comandos copiados de sites desconhecidos no terminal do sistema operacional. A adoção de políticas de restrição de execução de scripts em ambientes corporativos é uma medida citada para impedir a proliferação do phishing em larga escala. A remoção manual da extensão e a limpeza dos dados de navegação são passos necessários para interromper o ciclo de travamentos induzidos pelo software.