Uma campanha de phishing sofisticada está enganando desenvolvedores de extensões do Chrome com falsos avisos de violação de copyright, segundo alerta da Malwarebytes publicado em 2 de junho de 2026. O golpe usa dados reais das extensões para criar notificações personalizadas que exigem resposta em 48 horas, direcionando vítimas a uma página de login falsa do Google. O domínio identificado é dmca-chrome-extensions[.]click.
Como o golpe é montado
O ataque começa quando o desenvolvedor acessa uma página que imita um aviso oficial do Google sobre remoção de extensão por violação de direitos autorais. A página solicita o ID da extensão e, em seguida, consulta dados públicos do Chrome Web Store — como nome, ícone e descrição — para exibir uma notificação com aparência legítima.
O documento falso inclui número de reclamação inventado, data de recebimento, prazo de 48 horas e um cronômetro regressivo em tempo real. A urgência fabricada pressiona a vítima a clicar em “responder à reclamação”, o que abre uma janela de login forjada do Google.
Janela de login clonada
A janela de autenticação falsa é um ataque do tipo Browser-in-the-Browser: uma pop-up inteiramente renderizada em HTML e CSS que imita a interface de login do Google. Ela apresenta diferenças sutis que a maioria dos usuários não percebe:
- A janela não pode ser arrastada para fora dos limites do navegador
- Desaparece quando o navegador é minimizado
- O endereço accounts.google.com é uma imagem, não está na barra de endereços real
- O estilo da janela se adapta ao sistema operacional do usuário (Mac ou Windows)
Ao inserir e-mail e senha, as credenciais são enviadas diretamente ao servidor do atacante. O domínio ativo é carregado dinamicamente via API própria — o que permite ao invasor trocar o domínio de phishing a qualquer momento sem alterar a página principal.
| Indicador | Página falsa | Google legítimo |
|---|---|---|
| Endereço na barra | Domínio de terceiros | accounts.google.com |
| Janela movível | Só dentro do navegador | Livre na tela |
| Minimizar navegador | Janela desaparece | Janela permanece |
| URL no conteúdo | Imagem renderizada | Texto real na barra |
Por que desenvolvedores são o alvo
Contas de desenvolvedor do Chrome têm acesso privilegiado: quem controla a conta pode modificar extensões publicadas e distribuir atualizações maliciosas automaticamente para todos os usuários instalados. Uma extensão comprometida pode coletar senhas, interceptar tráfego e roubar sessões em escala.
A segurança de extensões de navegador é um ponto cego em muitas organizações. O Google reforça que alertas legítimos sobre extensões aparecem no painel do desenvolvedor no Chrome Web Store — nunca em sites de terceiros com cronômetro regressivo.
Desenvolvedores devem ativar autenticação forte com passkeys ou chaves de segurança hardware, que tornam senhas roubadas inúteis. Se inseriu credenciais na página suspeita, troque a senha imediatamente em um dispositivo confiável, revogue todas as sessões ativas nas configurações de segurança do Google e verifique se há alterações não autorizadas nas extensões publicadas.
Diversas técnicas de phishing avançadas exploram a urgência fabricada para induzir vítimas a entregar credenciais. Campanhas semelhantes usam códigos de dispositivo falsos contra o Microsoft 365 com o mesmo padrão de janela clonada.