عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة QuickLens - شاشة البحث مع إضافة Google Lens الخبيثة

QuickLens - شاشة البحث مع إضافة Google Lens الخبيثة

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:

تم الترويج في البداية لإضافة المتصفح QuickLens - Search Screen with Google Lens - كأداة ملائمة للبحث عن الصور المعروضة على الشاشة، وترجمة المحتوى، واسترجاع معلومات المنتجات من خلال الاستعلامات المرئية. ورغم مظهرها ووظائفها المشروعة، تحولت الإضافة في نهاية المطاف إلى تهديد خطير للأمن السيبراني. وكشفت التحقيقات أن البرنامج يحتوي على نصوص برمجية خبيثة قادرة على جمع معلومات حساسة وشن هجمات هندسة اجتماعية باستخدام برنامج ClickFix على الأنظمة المصابة.

في البداية، حظي هذا التطبيق بقاعدة مستخدمين واسعة وثقة كبيرة. إلا أن تغييراً جوهرياً طرأ في فبراير 2026، حين بيع التطبيق في سوق تطبيقات المتصفحات، واستحوذ عليه مالك جديد يعمل تحت عنوان البريد الإلكتروني 'support@doodlebuggle.top' واسم الشركة 'Quick Lens'. بعد فترة وجيزة من الاستحواذ، تم تطبيق سياسة خصوصية مشبوهة، تلاها إصدار تحديث خبيث وُزِّع على جميع المستخدمين.

تحديث خبيث تم إرساله عبر القنوات الرسمية

نظراً لأن الإضافة كانت مثبتة بالفعل لدى آلاف المستخدمين، انتشر التحديث الخبيث بسرعة. وقد قامت آلية التحديث التلقائي في متجر Chrome الإلكتروني بتوصيل النسخة المخترقة مباشرةً إلى التطبيقات المثبتة مسبقاً دون الحاجة إلى أي تدخل إضافي من المستخدم.

طلب الإصدار المُحدَّث صلاحيات واسعة النطاق من المتصفح، مما سمح له بمراقبة سلوك التصفح وتعديل نشاط المواقع الإلكترونية. وقد مكّنت هذه الصلاحيات الإضافة من إزالة إجراءات الحماية الأمنية الأساسية التي تفرضها المواقع الإلكترونية عادةً. تم تعطيل وسائل الحماية المصممة لحظر البرامج النصية الخبيثة، ومنع تضمين المواقع، والتخفيف من حدة بعض أساليب الهجوم، مما سهّل بشكل كبير تنفيذ التعليمات البرمجية الخبيثة المُدخَلة على أي صفحة يزورها الضحية.

التواصل المستمر مع بنية القيادة والسيطرة

بعد التثبيت، أنشأ الملحق المخترق اتصالاً بخادم تحكم عن بُعد. وقد أنشأ البرنامج الخبيث مُعرّفًا فريدًا لكل مستخدم مُصاب، وجمع معلومات بيئية مثل الموقع الجغرافي ونوع المتصفح ونظام التشغيل.

حافظت الإضافة على اتصال مستمر مع الخادم البعيد عن طريق إرسال طلبات كل خمس دقائق. سمحت عمليات التحقق المنتظمة هذه للمهاجمين بإرسال تعليمات جديدة، أو تحديث البرامج الضارة، أو بدء عمليات هجوم إضافية على الأنظمة المخترقة.

الهندسة الاجتماعية وتنبيهات التحديثات المزيفة من ClickFix

كما استخدمت النسخة الخبيثة من برنامج QuickLens أساليب هندسة اجتماعية عدوانية. وكان لديها القدرة على حقن نصوص برمجية في أي صفحة ويب يزورها الضحية، مما يسمح لها بعرض إشعارات تحديثات جوجل مزيفة.

صُممت هذه التنبيهات الخادعة لتقليد رسائل تحديث البرامج المشروعة. في الواقع، كانت جزءًا من هجوم من نوع ClickFix، وهي تقنية تتلاعب بالمستخدمين لحملهم على تنفيذ أوامر ضارة أو تنزيل برامج خبيثة إضافية. من خلال عرض التنبيهات على مواقع ويب متعددة، زاد المهاجمون من احتمالية ثقة الضحايا في التنبيه واتباعهم للتعليمات الخبيثة.

محفظة العملات المشفرة وقدرات سرقة البيانات

من أخطر وظائف الإضافة المخترقة استهدافها لأصول العملات المشفرة وبيانات المستخدمين الحساسة. إذ قامت البرامج النصية الخبيثة المدمجة بفحص المتصفحات بحثًا عن محافظ العملات المشفرة المثبتة، وحاولت استخراج معلومات سرية مثل عبارات استعادة المحفظة، وبيانات اعتماد المصادقة، وبيانات النماذج الحساسة.

استهدفت البرامج الضارة على وجه التحديد منصات محافظ العملات المشفرة التالية:

  • الأرجون
  • حقيبة ظهر
  • محفظة بينانس تشين
  • محفظة بريف
  • محفظة كوين بيس
  • الخروج
  • ميتا ماسك
  • فانتوم
  • سولفلير
  • محفظة الثقة
  • WalletConnect

إلى جانب سرقة العملات المشفرة، كان بإمكان هذا البرنامج الخبيث جمع مجموعة واسعة من البيانات الحساسة التي يتم إدخالها في مواقع الويب. وشمل ذلك بيانات تسجيل الدخول، ومعلومات الدفع، وغيرها من البيانات الشخصية التي يتم إرسالها عبر نماذج الويب.

الوصول إلى الحسابات الإلكترونية ومنصات الأعمال

كشف تحليل إضافي أن الإضافة الخبيثة قادرة على الوصول إلى المعلومات واستخراجها من العديد من المنصات الإلكترونية واسعة الانتشار. وقد وسّعت هذه القدرات نطاق الضرر المحتمل ليشمل الشركات ومنشئي المحتوى، بالإضافة إلى المستخدمين الأفراد.

تضمنت إمكانيات جمع البيانات ما يلي:

  • قراءة بيانات البريد الإلكتروني داخل صناديق بريد Gmail
  • جمع معلومات حساب الإعلان من مدير أعمال فيسبوك
  • استخراج البيانات التحليلية والتشغيلية من قنوات يوتيوب

وقد تسببت هذه الوظيفة في مخاطر كبيرة للمؤسسات التي تدير حملات التسويق أو الحسابات المالية أو منصات الوسائط عبر الإنترنت من خلال المتصفحات المتأثرة.

إزالة الامتداد والآثار الأمنية

بعد اكتشاف النشاط الخبيث، قامت جوجل بإزالة وتعطيل إضافة QuickLens - Search Screen with Google Lens من متجر Chrome الإلكتروني. ورغم هذا الإجراء، قد تظل الأنظمة التي سبق تثبيت الإضافة عليها عرضة للخطر إذا كان البرنامج لا يزال موجودًا.

ينبغي على المستخدمين المتضررين إزالة الإضافة فوراً ومراجعة أنظمتهم بحثاً عن أي اختراق محتمل. يُنصح بشدة بتغيير بيانات الاعتماد، وإجراء فحوصات أمان المحفظة، وفحص النظام.

تُسلط حادثة QuickLens الضوء على المخاطر الأمنية المتزايدة المرتبطة بإضافات المتصفح. فحتى البرامج التي تبدأ كأداة شرعية قد تتحول إلى تهديد عند تغيير ملكيتها وتوزيع تحديثات خبيثة عبر قنوات التحديث الرسمية. تُبين هذه الحالة كيف يمكن استغلال التطبيقات الموثوقة لتجاوز ضوابط الأمان، وسرقة البيانات الحساسة، وشن هجمات هندسة اجتماعية واسعة النطاق.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
21,503
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...