Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό QuickLens - Οθόνη αναζήτησης με κακόβουλη επέκταση Google...

QuickLens - Οθόνη αναζήτησης με κακόβουλη επέκταση Google Lens

Μέχρι το Mezo το Κακόβουλο λογισμικό, Κλέφτες
Μετάφραση σε:

Η επέκταση προγράμματος περιήγησης QuickLens - Οθόνη αναζήτησης με Google Lens προωθήθηκε αρχικά ως ένα βολικό εργαλείο για την αναζήτηση εικόνων στην οθόνη, τη μετάφραση περιεχομένου και την ανάκτηση πληροφοριών προϊόντων μέσω οπτικών ερωτημάτων. Παρά την νόμιμη εμφάνιση και λειτουργικότητά της, η επέκταση τελικά εξελίχθηκε σε σοβαρή απειλή για την κυβερνοασφάλεια. Οι έρευνες αποκάλυψαν ότι το λογισμικό περιείχε κακόβουλα σενάρια ικανά να συλλέγουν ευαίσθητες πληροφορίες και να εκκινούν επιθέσεις κοινωνικής μηχανικής ClickFix σε μολυσμένα συστήματα.

Αρχικά, η επέκταση είχε μια μεγάλη υπάρχουσα βάση χρηστών και ήταν ευρέως αξιόπιστη. Ωστόσο, μια κρίσιμη αλλαγή συνέβη τον Φεβρουάριο του 2026, όταν η επέκταση πουλήθηκε σε μια αγορά επεκτάσεων προγράμματος περιήγησης και αναλήφθηκε από έναν νέο ιδιοκτήτη που λειτουργούσε με τη διεύθυνση ηλεκτρονικού ταχυδρομείου 'support@doodlebuggle.top' και την επωνυμία LLC Quick Lens. Λίγο μετά την εξαγορά, εισήχθη μια ύποπτη πολιτική απορρήτου, ακολουθούμενη από την κυκλοφορία μιας κακόβουλης ενημέρωσης που διανεμήθηκε σε όλους τους χρήστες.

Κακόβουλη ενημέρωση που παραδόθηκε μέσω επίσημων καναλιών

Επειδή η επέκταση είχε ήδη εγκατασταθεί από χιλιάδες χρήστες, η κακόβουλη ενημέρωση εξαπλώθηκε γρήγορα. Ο μηχανισμός αυτόματης ενημέρωσης του Chrome Web Store παρέδωσε την παραβιασμένη έκδοση απευθείας στις υπάρχουσες εγκαταστάσεις χωρίς να απαιτείται πρόσθετη παρέμβαση του χρήστη.

Η ενημερωμένη έκδοση ζήτησε εκτεταμένα δικαιώματα περιήγησης που της επέτρεπαν να παρακολουθεί τη συμπεριφορά περιήγησης και να τροποποιεί τη δραστηριότητα του ιστότοπου. Αυτά τα δικαιώματα επέτρεψαν στην επέκταση να καταργήσει κρίσιμες προστασίες ασφαλείας που συνήθως επιβάλλονται από ιστότοπους. Οι διασφαλίσεις που έχουν σχεδιαστεί για να αποκλείουν κακόβουλα σενάρια, να αποτρέπουν την κατασκευή ιστοσελίδων και να μετριάζουν ορισμένες τεχνικές επίθεσης απενεργοποιήθηκαν, καθιστώντας σημαντικά ευκολότερη την εκτέλεση του εγχυμένου κακόβουλου κώδικα σε οποιαδήποτε σελίδα επισκέπτεται το θύμα.

Συνεχής επικοινωνία με την υποδομή διοίκησης και ελέγχου

Μετά την εγκατάσταση, η παραβιασμένη επέκταση εδραίωσε επικοινωνία με έναν απομακρυσμένο διακομιστή Command-and-Control (C2). Το κακόβουλο λογισμικό δημιούργησε ένα μοναδικό αναγνωριστικό για κάθε μολυσμένο χρήστη και συνέλεξε πληροφορίες για το περιβάλλον, όπως γεωγραφική τοποθεσία, τύπο προγράμματος περιήγησης και λειτουργικό σύστημα.

Η επέκταση διατηρούσε συνεχή επικοινωνία με τον απομακρυσμένο διακομιστή στέλνοντας αιτήματα κάθε πέντε λεπτά. Αυτοί οι τακτικοί έλεγχοι επέτρεπαν στους εισβολείς να παρέχουν νέες οδηγίες, να ενημερώνουν κακόβουλα ωφέλιμα φορτία ή να ξεκινούν πρόσθετες ενέργειες επίθεσης σε παραβιασμένα συστήματα.

ClickFix Κοινωνική Μηχανική και Ειδοποιήσεις Ψευδών Ενημερώσεων

Η κακόβουλη έκδοση του QuickLens εφάρμοζε επίσης επιθετικές τεχνικές κοινωνικής μηχανικής. Είχε τη δυνατότητα να εισάγει σενάρια σε οποιαδήποτε ιστοσελίδα επισκεπτόταν το θύμα, επιτρέποντάς του να εμφανίζει δόλιες ειδοποιήσεις Google Update.

Αυτές οι παραπλανητικές ειδοποιήσεις σχεδιάστηκαν για να μιμούνται νόμιμες προτροπές ενημέρωσης λογισμικού. Στην πραγματικότητα, αποτελούσαν μέρος μιας επίθεσης τύπου ClickFix, μιας τεχνικής που χειραγωγεί τους χρήστες ώστε να εκτελούν επιβλαβείς εντολές ή να κατεβάζουν επιπλέον κακόβουλο λογισμικό. Παρουσιάζοντας τις ειδοποιήσεις σε πολλούς ιστότοπους, οι εισβολείς αύξησαν την πιθανότητα τα θύματα να εμπιστεύονται την προτροπή και να ακολουθούν τις κακόβουλες οδηγίες.

Πορτοφόλι κρυπτονομισμάτων και δυνατότητες κλοπής δεδομένων

Μία από τις πιο επικίνδυνες λειτουργίες της παραβιασμένης επέκτασης αφορούσε τη στόχευση περιουσιακών στοιχείων κρυπτονομισμάτων και ευαίσθητων δεδομένων χρηστών. Τα ενσωματωμένα κακόβουλα σενάρια σάρωσαν τα προγράμματα περιήγησης για εγκατεστημένα πορτοφόλια κρυπτονομισμάτων και προσπάθησαν να εξαγάγουν εμπιστευτικές πληροφορίες, όπως φράσεις εκκίνησης πορτοφολιού, διαπιστευτήρια ελέγχου ταυτότητας και ευαίσθητα δεδομένα φόρμας.

Το κακόβουλο λογισμικό στόχευε συγκεκριμένα τις ακόλουθες πλατφόρμες πορτοφολιών κρυπτονομισμάτων:

  • Αργόν
  • Σάκος πλάτης
  • Πορτοφόλι αλυσίδας Binance
  • Γενναίο Πορτοφόλι
  • Πορτοφόλι Coinbase
  • Εξοδος πλήθους
  • Μεταμάσκα
  • Φάντασμα
  • Σολφλέρ
  • Πορτοφόλι εμπιστοσύνης
  • WalletConnect

Πέρα από την κλοπή κρυπτονομισμάτων, η επέκταση ήταν ικανή να συλλέξει ένα ευρύ φάσμα ευαίσθητων δεδομένων που εισήχθησαν σε ιστότοπους. Σε αυτά περιλαμβάνονταν διαπιστευτήρια σύνδεσης, πληροφορίες πληρωμής και άλλα προσωπικά δεδομένα που μεταδίδονταν μέσω διαδικτυακών φορμών.

Πρόσβαση σε ηλεκτρονικούς λογαριασμούς και επιχειρηματικές πλατφόρμες

Περαιτέρω ανάλυση αποκάλυψε ότι η κακόβουλη επέκταση μπορούσε να έχει πρόσβαση και να εξάγει πληροφορίες από διάφορες ευρέως χρησιμοποιούμενες διαδικτυακές πλατφόρμες. Αυτές οι δυνατότητες επέκτειναν την πιθανή ζημιά πέρα από τους μεμονωμένους χρήστες, σε επιχειρήσεις και δημιουργούς περιεχομένου.

Οι δυνατότητες συλλογής δεδομένων περιελάμβαναν:

  • Ανάγνωση δεδομένων email στα εισερχόμενα του Gmail
  • Συλλογή πληροφοριών διαφημιστικού λογαριασμού από το Facebook Business Manager
  • Ανάκτηση αναλυτικών και λειτουργικών δεδομένων από κανάλια YouTube

Αυτή η λειτουργικότητα δημιούργησε σημαντικούς κινδύνους για οργανισμούς που διαχειρίζονται καμπάνιες μάρκετινγκ, οικονομικούς λογαριασμούς ή πλατφόρμες διαδικτυακών μέσων μέσω των επηρεαζόμενων προγραμμάτων περιήγησης.

Αφαίρεση επεκτάσεων και επιπτώσεις ασφαλείας

Μετά την ανακάλυψη της κακόβουλης δραστηριότητας, η Google αφαίρεσε και απενεργοποίησε την επέκταση QuickLens - Οθόνη αναζήτησης με Google Lens από το Chrome Web Store. Παρά την ενέργεια αυτή, τα συστήματα που είχαν εγκαταστήσει προηγουμένως την επέκταση ενδέχεται να εξακολουθούν να διατρέχουν κίνδυνο εάν το λογισμικό εξακολουθεί να υπάρχει.

Οι χρήστες που επηρεάζονται θα πρέπει να απεγκαταστήσουν αμέσως την επέκταση και να ελέγξουν τα συστήματά τους για πιθανή παραβίαση. Συνιστώνται ανεπιφύλακτα οι αλλαγές διαπιστευτηρίων, οι έλεγχοι ασφαλείας του πορτοφολιού και οι σαρώσεις συστήματος.

Το περιστατικό με το QuickLens υπογραμμίζει τους αυξανόμενους κινδύνους ασφαλείας που σχετίζονται με τις επεκτάσεις του προγράμματος περιήγησης. Ακόμα και λογισμικό που ξεκινά ως νόμιμο εργαλείο μπορεί να γίνει απειλή όταν αλλάζει η ιδιοκτησία και διανέμονται κακόβουλες ενημερώσεις μέσω επίσημων καναλιών ενημέρωσης. Αυτή η περίπτωση καταδεικνύει πώς οι αξιόπιστες εφαρμογές μπορούν να χρησιμοποιηθούν ως όπλα για να παρακάμψουν τους ελέγχους ασφαλείας, να κλέψουν ευαίσθητα δεδομένα και να πραγματοποιήσουν επιθέσεις κοινωνικής μηχανικής μεγάλης κλίμακας.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
21,503
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...