Rabattilbud med flere licenser
Trusseldatabase Malware QuickLens - Søgeskærm med Google Lens skadelig udvidelse

QuickLens - Søgeskærm med Google Lens skadelig udvidelse

Med Mezo i Malware, Tyvere
Oversæt til:

Browserudvidelsen QuickLens - Search Screen med Google Lens blev oprindeligt markedsført som et praktisk værktøj til at søge efter billeder på skærmen, oversætte indhold og hente produktinformation via visuelle forespørgsler. Trods sit legitime udseende og funktionalitet udviklede udvidelsen sig i sidste ende til en alvorlig cybersikkerhedstrussel. Undersøgelser afslørede, at softwaren indeholdt ondsindede scripts, der var i stand til at indsamle følsomme oplysninger og udføre ClickFix social engineering-angreb på inficerede systemer.

Udvidelsen havde i starten en stor eksisterende brugerbase og var bredt betroet. Der skete dog en kritisk ændring i februar 2026, da udvidelsen blev solgt på en markedsplads for browserudvidelser og overtaget af en ny ejer, der opererede under e-mailadressen 'support@doodlebuggle.top' og firmanavnet LLC Quick Lens. Kort efter overtagelsen blev en mistænkelig privatlivspolitik introduceret, efterfulgt af udgivelsen af en ondsindet opdatering, der blev distribueret til alle brugere.

Ondsindet opdatering leveret via officielle kanaler

Da udvidelsen allerede var installeret af tusindvis af brugere, spredte den skadelige opdatering sig hurtigt. Chrome Webshops automatiske opdateringsmekanisme leverede den kompromitterede version direkte til eksisterende installationer uden at kræve yderligere brugerinteraktion.

Den opdaterede version anmodede om omfattende browsertilladelser, der gjorde det muligt for den at overvåge browseradfærd og ændre webstedsaktivitet. Disse tilladelser gjorde det muligt for udvidelsen at fjerne kritiske sikkerhedsforanstaltninger, der normalt håndhæves af websteder. Sikkerhedsforanstaltninger designet til at blokere ondsindede scripts, forhindre site framing og afbøde visse angrebsteknikker blev deaktiveret, hvilket gjorde det betydeligt lettere for indsprøjtet ondsindet kode at udføre på enhver side, som offeret besøgte.

Vedvarende kommunikation med kommando- og kontrolinfrastruktur

Efter installationen etablerede den kompromitterede udvidelse kommunikation med en ekstern Command-and-Control (C2)-server. Malwaren genererede et unikt id for hver inficeret bruger og indsamlede miljøoplysninger såsom geografisk placering, browsertype og operativsystem.

Udvidelsen opretholdt vedvarende kommunikation med den eksterne server ved at sende anmodninger hvert femte minut. Disse regelmæssige check-ins gjorde det muligt for angriberne at levere nye instruktioner, opdatere skadelige data eller iværksætte yderligere angrebshandlinger på kompromitterede systemer.

ClickFix Social Engineering og falske opdateringsalarmer

Den ondsindede version af QuickLens implementerede også aggressive social engineering-teknikker. Den havde evnen til at indsprøjte scripts på enhver webside, som offeret besøgte, hvilket gjorde det muligt at vise falske Google Update-meddelelser.

Disse vildledende advarsler var designet til at efterligne legitime softwareopdateringsmeddelelser. I virkeligheden var de en del af et ClickFix-lignende angreb, en teknik, der manipulerer brugere til at udføre skadelige kommandoer eller downloade yderligere malware. Ved at præsentere advarslerne på tværs af flere websteder øgede angriberne sandsynligheden for, at ofrene ville stole på meddelelsen og følge de ondsindede instruktioner.

Kryptovaluta-tegnebog og datatyverifunktioner

En af de farligste funktioner i den kompromitterede udvidelse involverede målretning af kryptovalutaaktiver og følsomme brugerdata. De indlejrede ondsindede scripts scannede browsere for installerede kryptovaluta-wallets og forsøgte at udtrække fortrolige oplysninger såsom wallet-seedfraser, godkendelsesoplysninger og følsomme formulardata.

Malwaren var specifikt rettet mod følgende kryptovaluta-wallet-platforme:

  • Argon
  • Rygsæk
  • Binance Chain-pung
  • Modig pung
  • Coinbase-tegnebog
  • Anden Mosebog
  • MetaMaske
  • Fantom
  • Solflare
  • Tillids-tegnebog
  • WalletConnect

Ud over kryptovalutatyveri var udvidelsen i stand til at indsamle en bred vifte af følsomme data, der blev indtastet på websteder. Dette omfattede loginoplysninger, betalingsoplysninger og andre personlige data, der blev transmitteret via webformularer.

Adgang til onlinekonti og forretningsplatforme

Yderligere analyse afslørede, at den ondsindede udvidelse kunne tilgå og udtrække information fra adskillige udbredte onlineplatforme. Disse muligheder udvidede den potentielle skade ud over individuelle brugere til virksomheder og indholdsskabere.

Dataindsamlingsfunktionerne omfattede:

  • Læsning af e-maildata i Gmail-indbakker
  • Indsamling af annoncekontooplysninger fra Facebook Business Manager
  • Hentning af analyse- og driftsdata fra YouTube-kanaler

Denne funktionalitet skabte betydelige risici for organisationer, der administrerer marketingkampagner, finansielle konti eller online medieplatforme via berørte browsere.

Fjernelse af udvidelser og sikkerhedsmæssige konsekvenser

Efter opdagelsen af den ondsindede aktivitet fjernede og deaktiverede Google QuickLens - Search Screen with Google Lens-udvidelsen fra Chrome Webshop. Trods denne handling kan systemer, der tidligere har installeret udvidelsen, fortsat være i fare, hvis softwaren stadig er til stede.

Berørte brugere bør straks afinstallere udvidelsen og gennemgå deres systemer for potentiel kompromittering. Ændringer af legitimationsoplysninger, sikkerhedstjek af tegnebogen og systemscanninger anbefales kraftigt.

QuickLens-hændelsen fremhæver de voksende sikkerhedsrisici forbundet med browserudvidelser. Selv software, der starter som et legitimt værktøj, kan blive en trussel, når ejerskabet ændres, og ondsindede opdateringer distribueres via officielle opdateringskanaler. Denne sag demonstrerer, hvordan betroede applikationer kan udnyttes som våben til at omgå sikkerhedskontroller, stjæle følsomme data og udføre store social engineering-angreb.

Trending

Mest sete

Indlæser...