Um anexo de e-mail leva à instalação de uma Chrome maliciosa Chrome . Pesquisadores afirmam que ela faz parte de um Windows distribuído por meio de um e-mail de phishing. O malware se aproveita Chrome Messaging para transferir o controle do navegador para o sistema host. Seu truque mais notável não é a isca de phishing em si, mas a maneira como ele utiliza Windows legítimos do navegador e Windows para executar o PowerShell e coletar dados, mantendo-se dentro dos fluxos de trabalho esperados.
O ataque começa com um anexo de e-mail disfarçado de PDF. O arquivo usa uma extensão enganosa .pfd.js parece um documento PDF, mas, na verdade, é um arquivo JavaScript ofuscado que salva arquivos adicionais na pasta temporária e dá início ao restante da cadeia de infecção.
Como parte dessa cadeia, um script do PowerShell prepara uma Chrome e altera as configurações Chrome para que a extensão possa ser instalada. O malware faz com que a instalação pareça ser uma implantação controlada por administrador, em vez de uma instalação normal de extensão.
Uma vez ativada, a extensão e seu complemento nativo coletam cookies do navegador, abas abertas, URLs, configurações de idioma e dados de identificação. Os operadores também utilizam a configuração como um canal de comando remoto, enviando instruções que podem iniciar o PowerShell e enumerar o conteúdo do C: dirigir.
Com os cookies de sessão autenticados roubados, os invasores podem sequestrar sessões ativas do navegador, em vez de apenas roubar senhas, o que é mais útil para eles, pois lhes permite acessar contas já conectadas no navegador da vítima, contornando a autenticação multifatorial (MFA).
O aspecto mais interessante do ataque é o uso indevido do Chrome Messaging como uma ponte entre a sandbox do navegador e o sistema operacional. Chrome extensões se comuniquem com um host nativo registrado, e os invasores se aproveitaram desse recurso legítimo para transformar a extensão em um controlador para a execução de código local. A extensão não inicia o PowerShell diretamente. Em vez disso, ela envia mensagens ao host nativo, que então inicia ou interage com o PowerShell no sistema host.
Como se manter seguro
A primeira linha de defesa contra ataques desse tipo é evitar abrir anexos de e-mail, a menos que você possa verificar a identidade do remetente. Além disso:
- Sempre verifique a extensão real do arquivo, em vez de confiar no nome exibido.
- Utilize uma solução antimalware atualizada e em tempo real para detectar e bloquear atividades maliciosas.
- Verifique as Chrome instaladas no seu dispositivo e remova aquelas que você não reconhece ou que não usa mais.
- Para ter ainda mais cuidado, saia das contas importantes quando terminar. Isso encerra sua sessão; assim, mesmo que alguém tenha roubado seu cookie de sessão, não poderá usá-lo para acessar sua conta.
- Verifique regularmente o histórico de acessos das contas importantes. Muitos serviços on-line permitem que você veja quais dispositivos fizeram login, quando e de onde.
IOCs
Anexo:
Fattura-2819889242.pfd.js (exibido como Fattura-26189991026.pdf)
Arquivos maliciosos:
client_124578.exe
d3d11.dll
Chrome :
Nome: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Domínio:
ext2[.]info
Isso está bloqueado pelo Malwarebytes Browser Guard, nossa extensão gratuita para navegadores que bloqueia anúncios, rastreadores, malware e muito mais.
![Browser Guard o ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
