Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер QuickLens - Екран за търсене със злонамерено разширение...

QuickLens - Екран за търсене със злонамерено разширение Google Lens

До Mezo през Зловреден софтуер, Крадциг
Превод на:

Разширението за браузър QuickLens - Search Screen with Google Lens първоначално беше рекламирано като удобен инструмент за търсене на екранни изображения, превод на съдържание и извличане на информация за продукти чрез визуални заявки. Въпреки легитимния си външен вид и функционалност, разширението в крайна сметка се превърна в сериозна заплаха за киберсигурността. Разследванията разкриха, че софтуерът съдържа злонамерени скриптове, способни да събират чувствителна информация и да стартират ClickFix атаки за социално инженерство върху заразени системи.

Първоначално разширението имаше голяма потребителска база и се ползваше с широко доверие. Критична промяна обаче настъпи през февруари 2026 г., когато разширението беше продадено на пазар за разширения за браузъри и поето от нов собственик, опериращ под имейл адреса „support@doodlebuggle.top“ и името на компанията LLC Quick Lens. Малко след придобиването беше въведена подозрителна политика за поверителност, последвана от пускането на злонамерена актуализация, разпространена до всички потребители.

Злонамерена актуализация, доставена по официални канали

Тъй като разширението вече беше инсталирано от хиляди потребители, злонамерената актуализация се разпространи бързо. Механизмът за автоматично актуализиране на уеб магазина на Chrome доставяше компрометираната версия директно до съществуващите инсталации, без да се изисква допълнителна намеса от страна на потребителя.

Актуализираната версия изискваше обширни разрешения на браузъра, които ѝ позволяваха да наблюдава поведението при сърфиране и да променя активността на уебсайта. Тези разрешения позволиха на разширението да премахне критичните защити, които обикновено се прилагат от уебсайтовете. Защитните мерки, предназначени да блокират злонамерени скриптове, да предотвратяват рамкирането на сайтове и да смекчат определени техники за атака, бяха деактивирани, което значително улеснява изпълнението на инжектирания злонамерен код на всяка страница, посетена от жертвата.

Постоянна комуникация с инфраструктурата за командване и контрол

След инсталирането, компрометираното разширение е установило комуникация с отдалечен команден и контролен (C2) сървър. Зловредният софтуер е генерирал уникален идентификатор за всеки заразен потребител и е събирал информация за околната среда, като географско местоположение, тип браузър и операционна система.

Разширението поддържаше постоянна комуникация с отдалечения сървър, като изпращаше заявки на всеки пет минути. Тези редовни проверки позволяваха на нападателите да предоставят нови инструкции, да актуализират злонамерени полезни товари или да инициират допълнителни атаки срещу компрометирани системи.

Социално инженерство и фалшиви известия за актуализации на ClickFix

Злонамерената версия на QuickLens също така е внедрявала агресивни техники за социално инженерство. Тя е имала възможността да инжектира скриптове във всяка уеб страница, посетена от жертвата, което ѝ е позволявало да показва измамни известия от Google Update.

Тези подвеждащи предупреждения са били предназначени да имитират легитимни подкани за актуализация на софтуер. В действителност те са били част от атака в стил ClickFix – техника, която манипулира потребителите да изпълняват вредни команди или да изтеглят допълнителен зловреден софтуер. Като са представяли предупрежденията на множество уебсайтове, нападателите са увеличили вероятността жертвите да се доверят на подканата и да следват злонамерените инструкции.

Възможности за криптовалутен портфейл и кражба на данни

Една от най-опасните функции на компрометираното разширение включваше атаки срещу криптовалутни активи и чувствителни потребителски данни. Вградените злонамерени скриптове сканираха браузърите за инсталирани портфейли с криптовалута и се опитваха да извлекат поверителна информация, като например фрази за генериране на портфейли, идентификационни данни за удостоверяване и чувствителни данни от формуляри.

Зловредният софтуер е насочен специално към следните платформи за портфейли с криптовалута:

  • Аргон
  • Раница
  • Портфейл от веригата Binance
  • Смел портфейл
  • Портфейл на Coinbase
  • Изход
  • МетаМаска
  • Фантом
  • Солфлейър
  • Доверителен портфейл
  • WalletConnect

Освен кражбата на криптовалута, разширението е било способно да събира широк спектър от чувствителни данни, въведени в уебсайтове. Това включва идентификационни данни за вход, информация за плащане и други лични данни, предавани чрез уеб формуляри.

Достъп до онлайн акаунти и бизнес платформи

По-нататъшен анализ разкри, че злонамереното разширение може да осъществява достъп и да извлича информация от няколко широко използвани онлайн платформи. Тези възможности разшириха потенциалните щети отвъд отделните потребители до бизнеса и създателите на съдържание.

Възможностите за събиране на данни включваха:

  • Четене на имейл данни във входящите кутии на Gmail
  • Събиране на информация за рекламния акаунт от Facebook Business Manager
  • Извличане на аналитични и оперативни данни от YouTube канали

Тази функционалност създаде значителни рискове за организациите, управляващи маркетингови кампании, финансови сметки или онлайн медийни платформи чрез засегнатите браузъри.

Премахване на разширения и последици за сигурността

След откриването на злонамерената дейност, Google премахна и деактивира разширението QuickLens - Search Screen with Google Lens от уеб магазина на Chrome. Въпреки това действие, системите, които преди това са инсталирали разширението, може да останат изложени на риск, ако софтуерът все още е наличен.

Засегнатите потребители трябва незабавно да деинсталират разширението и да проверят системите си за потенциално компрометиране. Силно се препоръчват промени в идентификационните данни, проверки на сигурността на портфейлите и сканиране на системата.

Инцидентът с QuickLens подчертава нарастващите рискове за сигурността, свързани с разширенията на браузъра. Дори софтуер, който първоначално е легитимен инструмент, може да се превърне в заплаха, когато собствеността се промени и злонамерени актуализации се разпространяват чрез официални канали за актуализации. Този случай демонстрира как надеждни приложения могат да бъдат използвани като оръжие за заобикаляне на контролите за сигурност, кражба на чувствителни данни и извършване на мащабни атаки чрез социално инженерство.

Тенденция

Critical-service.cc

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Сърфирането в интернет изисква постоянна бдителност. Киберпрестъпниците непрекъснато разработват измамни техники, за да манипулират потребителите, така че да компрометират собствената си сигурност....

Най-гледан

Зловреден софтуер

Фишинг, Спам
21,503
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...