Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós QuickLens - Pantalla de cerca amb l'extensió maliciosa de...

QuickLens - Pantalla de cerca amb l'extensió maliciosa de Google Lens

El Mezo el Programari maliciós, Ladrons
Traduir a:

L'extensió del navegador QuickLens - Search Screen with Google Lens es va promocionar originalment com una eina convenient per cercar imatges en pantalla, traduir contingut i recuperar informació de productes mitjançant consultes visuals. Malgrat la seva aparença i funcionalitat legítimes, l'extensió va acabar convertint-se en una greu amenaça de ciberseguretat. Les investigacions van revelar que el programari contenia scripts maliciosos capaços de recopilar informació sensible i llançar atacs d'enginyeria social ClickFix en sistemes infectats.

Inicialment, l'extensió ja tenia una gran base d'usuaris i era de confiança generalitzada. Tanmateix, el febrer de 2026 es va produir un canvi crític, quan l'extensió es va vendre en un mercat d'extensions de navegador i va ser adquirida per un nou propietari que operava amb l'adreça de correu electrònic "support@doodlebuggle.top" i el nom de l'empresa LLC Quick Lens. Poc després de l'adquisició, es va introduir una política de privadesa sospitosa, seguida del llançament d'una actualització maliciosa distribuïda a tots els usuaris.

Actualització maliciosa enviada a través de canals oficials

Com que l'extensió ja havia estat instal·lada per milers d'usuaris, l'actualització maliciosa es va estendre ràpidament. El mecanisme d'actualització automàtica de Chrome Web Store va lliurar la versió compromesa directament a les instal·lacions existents sense requerir la interacció addicional de l'usuari.

La versió actualitzada sol·licitava permisos amplis del navegador que li permetien supervisar el comportament de navegació i modificar l'activitat del lloc web. Aquests permisos van permetre a l'extensió eliminar les proteccions de seguretat crítiques que normalment apliquen els llocs web. Es van desactivar les mesures de seguretat dissenyades per bloquejar scripts maliciosos, evitar l'enquadrament de llocs web i mitigar certes tècniques d'atac, cosa que va facilitar significativament l'execució de codi maliciós injectat a qualsevol pàgina visitada per la víctima.

Comunicació persistent amb la infraestructura de comandament i control

Després de la instal·lació, l'extensió compromesa va establir comunicació amb un servidor remot de comandament i control (C2). El programari maliciós generava un identificador únic per a cada usuari infectat i recopilava informació ambiental com ara la ubicació geogràfica, el tipus de navegador i el sistema operatiu.

L'extensió mantenia una comunicació persistent amb el servidor remot enviant sol·licituds cada cinc minuts. Aquests registres regulars permetien als atacants lliurar noves instruccions, actualitzar càrregues útils malicioses o iniciar accions d'atac addicionals en sistemes compromesos.

Enginyeria social de ClickFix i alertes d’actualitzacions falses

La versió maliciosa de QuickLens també implementava tècniques agressives d'enginyeria social. Tenia la capacitat d'injectar scripts a qualsevol pàgina web visitada per la víctima, cosa que li permetia mostrar notificacions fraudulentes d'actualització de Google.

Aquestes alertes enganyoses estaven dissenyades per imitar avisos legítims d'actualització de programari. En realitat, formaven part d'un atac d'estil ClickFix, una tècnica que manipula els usuaris perquè executin ordres nocives o descarreguin programari maliciós addicional. En presentar les alertes a través de diversos llocs web, els atacants van augmentar la probabilitat que les víctimes confiessin en l'avís i seguissin les instruccions malicioses.

Cartera de criptomonedes i capacitats de robatori de dades

Una de les funcions més perilloses de l'extensió compromesa implicava atacar actius de criptomoneda i dades sensibles dels usuaris. Els scripts maliciosos integrats escanejaven els navegadors a la recerca de moneders de criptomoneda instal·lats i intentaven extreure informació confidencial com ara frases inicials de moneders, credencials d'autenticació i dades sensibles de formularis.

El programari maliciós es va dirigir específicament a les següents plataformes de moneders de criptomoneda:

  • Argó
  • Motxilla
  • Cartera de cadena Binance
  • Cartera Valent
  • Cartera Coinbase
  • Èxode
  • MetaMask
  • Fantasma
  • Solflare
  • Moneder de confiança
  • WalletConnect

Més enllà del robatori de criptomonedes, l'extensió era capaç de recopilar una àmplia gamma de dades sensibles introduïdes als llocs web. Això incloïa credencials d'inici de sessió, informació de pagament i altres dades personals transmeses a través de formularis web.

Accés a comptes en línia i plataformes empresarials

Una anàlisi més detallada va revelar que l'extensió maliciosa podia accedir i extreure informació de diverses plataformes en línia àmpliament utilitzades. Aquestes capacitats van ampliar el dany potencial més enllà dels usuaris individuals, arribant a empreses i creadors de contingut.

Les capacitats de recopilació de dades incloïen:

  • Llegir dades de correu electrònic a les safates d'entrada de Gmail
  • Recopilació d'informació del compte de publicitat del Facebook Business Manager
  • Recuperació d'anàlisis i dades operatives dels canals de YouTube

Aquesta funcionalitat creava riscos importants per a les organitzacions que gestionaven campanyes de màrqueting, comptes financers o plataformes de mitjans en línia a través dels navegadors afectats.

Eliminació d’extensions i implicacions de seguretat

Després del descobriment de l'activitat maliciosa, Google va eliminar i desactivar l'extensió QuickLens - Search Screen with Google Lens de la Chrome Web Store. Malgrat aquesta acció, els sistemes que havien instal·lat l'extensió anteriorment poden seguir en risc si el programari encara hi és.

Els usuaris afectats han de desinstal·lar immediatament l'extensió i revisar els seus sistemes per detectar possibles riscos. Es recomana fermament fer canvis de credencials, comprovar la seguretat del moneder i analitzar el sistema.

L'incident de QuickLens posa de manifest els creixents riscos de seguretat associats a les extensions del navegador. Fins i tot el programari que comença com una eina legítima pot convertir-se en una amenaça quan canvia de propietari i es distribueixen actualitzacions malicioses a través de canals d'actualització oficials. Aquest cas demostra com les aplicacions de confiança es poden utilitzar com a armes per eludir els controls de seguretat, robar dades sensibles i dur a terme atacs d'enginyeria social a gran escala.

Tendència

Més vist

Carregant...