Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara QuickLens - otsinguekraan Google Lensi pahatahtliku...

QuickLens - otsinguekraan Google Lensi pahatahtliku laiendusega

Aastaks Mezo aastal Pahavara, Varastajad
Tõlgi:

Brauserilaiendust QuickLens - Search Screen with Google Lens reklaamiti algselt mugava tööriistana ekraanil olevate piltide otsimiseks, sisu tõlkimiseks ja tooteteabe hankimiseks visuaalsete päringute abil. Vaatamata oma korrektsele välimusele ja funktsionaalsusele kujunes laiendus lõpuks tõsiseks küberturvalisuse ohuks. Uurimised näitasid, et tarkvara sisaldas pahatahtlikke skripte, mis olid võimelised koguma tundlikku teavet ja käivitama nakatunud süsteemides ClickFixi sotsiaalse manipuleerimise rünnakuid.

Algselt oli laiendusel suur kasutajaskond ja seda usaldati laialdaselt. Kuid kriitiline muutus toimus 2026. aasta veebruaris, kui laiendus müüdi brauserilaienduste turuplatsil ja selle võttis üle uus omanik, kes tegutses e-posti aadressi 'support@doodlebuggle.top' ja ettevõtte nime LLC Quick Lens all. Varsti pärast omandamist kehtestati kahtlane privaatsuspoliitika, millele järgnes pahatahtliku värskenduse avaldamine, mis levitati kõigile kasutajatele.

Pahatahtlik värskendus edastati ametlike kanalite kaudu

Kuna laiendus oli juba tuhandete kasutajate poolt installitud, levis pahatahtlik värskendus kiiresti. Chrome'i veebipoe automaatne värskendusmehhanism edastas ohustatud versiooni otse olemasolevatesse installidesse ilma täiendava kasutaja sekkumiseta.

Värskendatud versioon taotles ulatuslikke brauserilube, mis võimaldasid tal jälgida sirvimiskäitumist ja muuta veebisaidi tegevust. Need load võimaldasid laiendusel eemaldada kriitilisi turvakaitseid, mida veebisaidid tavaliselt rakendavad. Pahatahtlike skriptide blokeerimiseks, saidi raamimise vältimiseks ja teatud rünnakutehnikate leevendamiseks mõeldud kaitsemeetmed keelati, muutes pahatahtliku koodi süstimise oluliselt lihtsamaks mis tahes lehel, mida ohver külastas.

Püsiv side juhtimis- ja kontrollinfrastruktuuriga

Pärast installimist lõi nakatunud laiendus ühenduse kaugjuhtimispuldi (C2) serveriga. Pahavara genereeris iga nakatunud kasutaja jaoks unikaalse identifikaatori ja kogus keskkonnateavet, nagu geograafiline asukoht, brauseri tüüp ja operatsioonisüsteem.

Laiendus hoidis kaugserveriga pidevat ühendust, saates päringuid iga viie minuti järel. Need regulaarsed registreerimised võimaldasid ründajatel edastada uusi juhiseid, uuendada pahatahtlikke koormusi või algatada täiendavaid rünnakutoiminguid ohustatud süsteemides.

ClickFix sotsiaalse manipuleerimise ja võltsitud värskendusteadete

QuickLensi pahatahtlik versioon kasutas ka agressiivseid sotsiaalse manipuleerimise tehnikaid. Sellel oli võime süstida skripte igale ohvri külastatud veebilehele, võimaldades kuvada petturlikke Google Update'i teavitusi.

Need petlikud hoiatused olid loodud jäljendama seaduslikke tarkvarauuenduste juhiseid. Tegelikkuses olid need osa ClickFixi-tüüpi rünnakust – tehnikast, mis manipuleerib kasutajaid kahjulike käskude täitmiseks või täiendava pahavara allalaadimiseks. Hoiatuste esitamisega mitmel veebisaidil suurendasid ründajad tõenäosust, et ohvrid usaldavad viisi ja järgivad pahatahtlikke juhiseid.

Krüptovaluuta rahakott ja andmevarguse võimalused

Üks ohustatud laienduse ohtlikumaid funktsioone oli krüptovaluutavarade ja tundlike kasutajaandmete sihtimine. Manustatud pahatahtlikud skriptid skannisid brausereid installitud krüptovaluuta rahakottide suhtes ja üritasid hankida konfidentsiaalset teavet, näiteks rahakoti algseid fraase, autentimisandmeid ja tundlikke vormiandmeid.

Pahavara sihtis konkreetselt järgmisi krüptovaluuta rahakotiplatvorme:

  • Argoon
  • Seljakott
  • Binance'i keti rahakott
  • Vapper rahakott
  • Coinbase'i rahakott
  • Väljasõda
  • MetaMask
  • Fantoom
  • Solflare
  • Usaldusväärne rahakott
  • WalletConnect

Lisaks krüptovaluuta vargusele suutis laiendus koguda laia valikut veebisaitidele sisestatud tundlikke andmeid. See hõlmas sisselogimisandmeid, makseteavet ja muid veebivormide kaudu edastatud isikuandmeid.

Juurdepääs veebikontodele ja äriplatvormidele

Edasine analüüs näitas, et pahatahtlik laiendus pääses ligi teabele mitmelt laialdaselt kasutatavalt veebiplatvormilt ja suutis sealt teavet ammutada. Need võimalused laiendasid potentsiaalset kahju lisaks üksikisikutest kasutajatele ka ettevõtetele ja sisuloojatele.

Andmete kogumise võimalused hõlmasid:

  • Gmaili postkastides olevate e-posti andmete lugemine
  • Reklaamikonto teabe kogumine Facebook Business Managerist
  • Analüütika ja operatiivandmete hankimine YouTube'i kanalitelt

See funktsionaalsus tekitas olulisi riske organisatsioonidele, kes haldavad turunduskampaaniaid, finantskontosid või veebimeedia platvorme mõjutatud brauserite kaudu.

Laienduse eemaldamine ja turvalisusega seotud tagajärjed

Pärast pahatahtliku tegevuse avastamist eemaldas Google Chrome'i veebipoest laienduse QuickLens - Search Screen with Google Lens ja keelas selle. Vaatamata sellele toimingule võivad süsteemid, kuhu laiendus oli varem installitud, jääda ohus olevaks, kui tarkvara on endiselt installitud.

Mõjutatud kasutajad peaksid laienduse viivitamatult desinstallima ja oma süsteemid võimaliku ohu suhtes üle vaatama. Tungivalt soovitatav on muuta volitusi, kontrollida rahakoti turvakontrolle ja süsteemi skannida.

QuickLensi intsident toob esile brauserilaiendustega seotud kasvavad turvariskid. Isegi tarkvara, mis algselt oli legitiimne tööriist, võib omanikuvahetuse ja pahatahtlike värskenduste levitamise korral ametlike värskenduskanalite kaudu ohuks muutuda. See juhtum näitab, kuidas usaldusväärseid rakendusi saab relvana kasutada turvakontrollide möödahiilimiseks, tundlike andmete varastamiseks ja ulatuslike sotsiaalse manipuleerimise rünnakute läbiviimiseks.

Trendikas

Enim vaadatud

Laadimine...