QuickLens - صفحه جستجو با افزونه مخرب Google Lens

افزونه مرورگر QuickLens - Search Screen with Google Lens در ابتدا به عنوان ابزاری مناسب برای جستجوی تصاویر روی صفحه، ترجمه محتوا و بازیابی اطلاعات محصول از طریق پرس و جوهای بصری تبلیغ می‌شد. با وجود ظاهر و عملکرد قانونی آن، این افزونه در نهایت به یک تهدید جدی امنیت سایبری تبدیل شد. تحقیقات نشان داد که این نرم‌افزار حاوی اسکریپت‌های مخربی است که قادر به جمع‌آوری اطلاعات حساس و انجام حملات مهندسی اجتماعی ClickFix بر روی سیستم‌های آلوده هستند.

در ابتدا، این افزونه پایگاه کاربری بزرگی داشت و مورد اعتماد گسترده بود. با این حال، در فوریه ۲۰۲۶ تغییر مهمی رخ داد، زمانی که این افزونه در یک بازار افزونه‌های مرورگر فروخته شد و توسط مالک جدیدی که تحت آدرس ایمیل 'support@doodlebuggle.top' و نام شرکت LLC Quick Lens فعالیت می‌کرد، تصاحب شد. اندکی پس از این خرید، یک سیاست حفظ حریم خصوصی مشکوک معرفی شد و به دنبال آن یک به‌روزرسانی مخرب برای همه کاربران منتشر شد.

به‌روزرسانی مخرب از طریق کانال‌های رسمی ارائه شد

از آنجا که این افزونه قبلاً توسط هزاران کاربر نصب شده بود، به‌روزرسانی مخرب به سرعت گسترش یافت. مکانیسم به‌روزرسانی خودکار فروشگاه وب کروم، نسخه آسیب‌دیده را مستقیماً و بدون نیاز به تعامل بیشتر کاربر، به نصب‌های موجود ارائه می‌داد.

نسخه به‌روزرسانی‌شده، مجوزهای گسترده‌ای از مرورگر درخواست می‌کرد که به آن اجازه می‌داد رفتار مرور وب را رصد کند و فعالیت وب‌سایت را تغییر دهد. این مجوزها به افزونه امکان می‌داد تا حفاظت‌های امنیتی حیاتی که معمولاً توسط وب‌سایت‌ها اعمال می‌شوند را حذف کند. حفاظت‌هایی که برای مسدود کردن اسکریپت‌های مخرب، جلوگیری از فریم‌بندی سایت و کاهش برخی تکنیک‌های حمله طراحی شده بودند، غیرفعال شدند و اجرای کد مخرب تزریق‌شده در هر صفحه‌ای که قربانی بازدید می‌کند را به طور قابل توجهی آسان‌تر کردند.

ارتباط پایدار با زیرساخت فرماندهی و کنترل

پس از نصب، افزونه‌ی آلوده با یک سرور فرماندهی و کنترل (C2) از راه دور ارتباط برقرار کرد. این بدافزار برای هر کاربر آلوده یک شناسه‌ی منحصر به فرد ایجاد کرد و اطلاعات محیطی مانند موقعیت جغرافیایی، نوع مرورگر و سیستم عامل را جمع‌آوری کرد.

این افزونه با ارسال درخواست‌ها هر پنج دقیقه یکبار، ارتباط مداوم با سرور راه دور را حفظ می‌کرد. این بررسی‌های منظم به مهاجمان اجازه می‌داد تا دستورالعمل‌های جدید ارائه دهند، بارهای مخرب را به‌روزرسانی کنند یا اقدامات حمله دیگری را روی سیستم‌های آسیب‌دیده آغاز کنند.

مهندسی اجتماعی کلیک‌فیکس و هشدارهای به‌روزرسانی جعلی

نسخه مخرب QuickLens همچنین تکنیک‌های مهندسی اجتماعی تهاجمی را پیاده‌سازی کرد. این نسخه قابلیت تزریق اسکریپت‌ها به هر صفحه وبی که قربانی بازدید می‌کرد را داشت و آن را قادر می‌ساخت تا اعلان‌های جعلی به‌روزرسانی گوگل را نمایش دهد.

این هشدارهای فریبنده به گونه‌ای طراحی شده بودند که پیام‌های به‌روزرسانی نرم‌افزارهای قانونی را تقلید کنند. در واقع، آن‌ها بخشی از یک حمله به سبک ClickFix بودند، تکنیکی که کاربران را به اجرای دستورات مضر یا دانلود بدافزارهای اضافی ترغیب می‌کند. با نمایش هشدارها در چندین وب‌سایت، مهاجمان احتمال اینکه قربانیان به پیام اعتماد کرده و دستورالعمل‌های مخرب را دنبال کنند، افزایش دادند.

کیف پول ارز دیجیتال و قابلیت‌های سرقت داده‌ها

یکی از خطرناک‌ترین کارکردهای افزونه‌ی آسیب‌دیده، هدف قرار دادن دارایی‌های ارز دیجیتال و داده‌های حساس کاربر بود. اسکریپت‌های مخرب جاسازی‌شده، مرورگرها را برای یافتن کیف پول‌های ارز دیجیتال نصب‌شده اسکن می‌کردند و تلاش می‌کردند اطلاعات محرمانه‌ای مانند عبارات بازیابی کیف پول، اعتبارنامه‌های احراز هویت و داده‌های حساس فرم را استخراج کنند.

این بدافزار به‌طور خاص پلتفرم‌های کیف پول ارزهای دیجیتال زیر را هدف قرار داده است:

• آرگون
• کوله پشتی
• کیف پول بایننس چین
• کیف پول شجاع
• کیف پول کوین‌بیس
• خروج
• متامسک
• فانتوم
• سولفلر
• کیف پول تراست
• کیف پول متصل شوید

فراتر از سرقت ارزهای دیجیتال، این افزونه قادر به جمع‌آوری طیف گسترده‌ای از داده‌های حساس وارد شده در وب‌سایت‌ها بود. این شامل اطلاعات ورود به سیستم، اطلاعات پرداخت و سایر داده‌های شخصی منتقل شده از طریق فرم‌های وب می‌شد.

دسترسی به حساب‌های آنلاین و پلتفرم‌های تجاری

تجزیه و تحلیل بیشتر نشان داد که این افزونه مخرب می‌تواند به اطلاعات چندین پلتفرم آنلاین پرکاربرد دسترسی پیدا کرده و آنها را استخراج کند. این قابلیت‌ها، آسیب بالقوه را فراتر از کاربران شخصی، به مشاغل و تولیدکنندگان محتوا گسترش می‌دهد.

قابلیت‌های جمع‌آوری داده‌ها شامل موارد زیر بود:

• خواندن داده‌های ایمیل در صندوق ورودی جیمیل
• جمع‌آوری اطلاعات حساب‌های تبلیغاتی از Facebook Business Manager
• بازیابی داده‌های تحلیلی و عملیاتی از کانال‌های یوتیوب

این قابلیت، خطرات قابل توجهی را برای سازمان‌هایی که کمپین‌های بازاریابی، حساب‌های مالی یا پلتفرم‌های رسانه آنلاین را از طریق مرورگرهای آسیب‌دیده مدیریت می‌کنند، ایجاد می‌کند.

حذف افزونه و پیامدهای امنیتی

پس از کشف فعالیت مخرب، گوگل افزونه QuickLens - Search Screen with Google Lens را از فروشگاه وب کروم حذف و غیرفعال کرد. با وجود این اقدام، سیستم‌هایی که قبلاً این افزونه را نصب کرده‌اند، در صورت وجود نرم‌افزار، ممکن است همچنان در معرض خطر باشند.

کاربران آسیب‌دیده باید فوراً افزونه را حذف کرده و سیستم‌های خود را برای بررسی آسیب‌پذیری‌های احتمالی بررسی کنند. تغییرات اعتبارنامه، بررسی‌های امنیتی کیف پول و اسکن سیستم اکیداً توصیه می‌شود.

حادثه QuickLens خطرات امنیتی رو به رشد مرتبط با افزونه‌های مرورگر را برجسته می‌کند. حتی نرم‌افزاری که به عنوان یک ابزار قانونی شروع به کار می‌کند، می‌تواند با تغییر مالکیت و به‌روزرسانی‌های مخرب از طریق کانال‌های به‌روزرسانی رسمی، به یک تهدید تبدیل شود. این مورد نشان می‌دهد که چگونه برنامه‌های کاربردی قابل اعتماد می‌توانند برای دور زدن کنترل‌های امنیتی، سرقت داده‌های حساس و انجام حملات مهندسی اجتماعی در مقیاس بزرگ، مسلح شوند.