הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית QuickLens - מסך חיפוש עם התוסף הזדוני של Google Lens

QuickLens - מסך חיפוש עם התוסף הזדוני של Google Lens

עד Mezo ב-תוכנה זדונית, גונבים
לתרגם ל:

תוסף הדפדפן QuickLens - Search Screen with Google Lens קודם במקור ככלי נוח לחיפוש תמונות על המסך, תרגום תוכן ואחזור מידע על מוצרים באמצעות שאילתות חזותיות. למרות מראהו ופונקציונליותו הלגיטימיים, התוסף התפתח בסופו של דבר לאיום סייבר חמור. חקירות גילו כי התוכנה הכילה סקריפטים זדוניים המסוגלים לאסוף מידע רגיש ולשגר התקפות הנדסה חברתית של ClickFix על מערכות נגועות.

בתחילה, לתוסף היה בסיס משתמשים גדול והוא זכה לאמון נרחב. עם זאת, שינוי קריטי התרחש בפברואר 2026, כאשר התוסף נמכר בשוק הרחבות דפדפן ונרכש על ידי בעלים חדש שפעל תחת כתובת הדוא"ל 'support@doodlebuggle.top' ושם החברה LLC Quick Lens. זמן קצר לאחר הרכישה, הוצגה מדיניות פרטיות חשודה, ולאחר מכן פורסם עדכון זדוני שהופץ לכל המשתמשים.

עדכון זדוני הועבר דרך ערוצים רשמיים

מכיוון שהתוסף כבר הותקן על ידי אלפי משתמשים, העדכון הזדוני התפשט במהירות. מנגנון העדכון האוטומטי של חנות האינטרנט של כרום העביר את הגרסה הפגועה ישירות להתקנות קיימות מבלי לדרוש התערבות נוספת של המשתמש.

הגרסה המעודכנת ביקשה הרשאות דפדפן נרחבות שאפשרו לה לנטר את התנהגות הגלישה ולשנות את פעילות האתר. הרשאות אלו אפשרו לתוסף להסיר הגנות אבטחה קריטיות שבדרך כלל נאכפות על ידי אתרים. אמצעי הגנה שנועדו לחסום סקריפטים זדוניים, למנוע מסגור אתרים ולמתן טכניקות תקיפה מסוימות הושבתו, מה שהקל משמעותית על ביצוע קוד זדוני שהוחדר בכל דף שבו ביקר הקורבן.

תקשורת מתמדת עם תשתית פיקוד ובקרה

לאחר ההתקנה, ההרחבה שנפגעה יצרה תקשורת עם שרת פיקוד ובקרה מרוחק (C2). התוכנה הזדונית יצרה מזהה ייחודי עבור כל משתמש נגוע ואספה מידע סביבתי כגון מיקום גיאוגרפי, סוג דפדפן ומערכת הפעלה.

ההרחבה שמרה על תקשורת מתמשכת עם השרת המרוחק על ידי שליחת בקשות כל חמש דקות. בדיקות בדיקה קבועות אלה אפשרו לתוקפים לספק הוראות חדשות, לעדכן מטענים זדוניים או ליזום פעולות תקיפה נוספות על מערכות שנפרצו.

הנדסה חברתית של ClickFix והתראות על עדכונים מזויפים

הגרסה הזדונית של QuickLens יישמה גם טכניקות הנדסה חברתית אגרסיביות. הייתה לה היכולת להחדיר סקריפטים לכל דף אינטרנט שבו מבקר הקורבן, מה שאפשר לה להציג התראות הונאה של עדכוני גוגל.

התראות מטעות אלו נועדו לחקות הנחיות לגיטימיות לעדכון תוכנה. במציאות, הן היוו חלק מהתקפה בסגנון ClickFix, טכניקה שמפעילה מניפולציות על משתמשים לבצע פקודות מזיקות או להוריד תוכנות זדוניות נוספות. על ידי הצגת ההתראות באתרי אינטרנט מרובים, התוקפים הגבירו את הסבירות שהקורבנות יבטחו בהנחיה ויפעלו לפי ההוראות הזדוניות.

ארנקי קריפטו ויכולות גניבת נתונים

אחת הפונקציות המסוכנות ביותר של התוסף שנפגע כללה מיקוד בנכסי מטבעות קריפטוגרפיים ונתוני משתמשים רגישים. הסקריפטים הזדוניים המוטמעים סרקו דפדפנים אחר ארנקי מטבעות קריפטוגרפיים מותקנים וניסו לחלץ מידע סודי כגון ביטויי התחלה של ארנק, אישורי אימות ונתוני טופס רגישים.

התוכנה הזדונית התמקדה ספציפית בפלטפורמות הארנקים של הקריפטו הבאות:

  • אַרגוֹן
  • תַרמִיל
  • ארנק שרשרת בינאנס
  • ארנק אמיץ
  • ארנק Coinbase
  • סֵפֶר שֵׁמוֹת
  • מטא-מסכה
  • דִמיוֹנִי
  • סולפלאר
  • ארנק אמון
  • ארנקקונקט

מעבר לגניבת מטבעות קריפטוגרפיים, ההרחבה הייתה מסוגלת לאסוף מגוון רחב של נתונים רגישים שהוזנו לאתרי אינטרנט. אלה כללו פרטי כניסה, פרטי תשלום ונתונים אישיים אחרים שהועברו באמצעות טפסי אינטרנט.

גישה לחשבונות מקוונים ופלטפורמות עסקיות

ניתוח נוסף גילה כי התוסף הזדוני יכל לגשת ולחלץ מידע ממספר פלטפורמות מקוונות נפוצות. יכולות אלו הרחיבו את הנזק הפוטנציאלי מעבר למשתמשים בודדים, גם לעסקים וליוצרי תוכן.

יכולות איסוף הנתונים כללו:

  • קריאת נתוני דוא"ל בתוך תיבות הדואר הנכנס של ג'ימייל
  • איסוף פרטי חשבון פרסום ממנהל העסקים של פייסבוק
  • אחזור נתונים אנליטיים ותפעוליים מערוצי YouTube

פונקציונליות זו יצרה סיכונים משמעותיים עבור ארגונים המנהלים קמפיינים שיווקיים, חשבונות פיננסיים או פלטפורמות מדיה מקוונות דרך דפדפנים שנפגעו.

הסרת הרחבה והשלכות אבטחה

בעקבות גילוי הפעילות הזדונית, גוגל הסירה והשביתה את התוסף QuickLens - Search Screen with Google Lens מחנות האינטרנט של כרום. למרות פעולה זו, מערכות שהתקינו בעבר את התוסף עלולות להישאר בסיכון אם התוכנה עדיין קיימת.

על המשתמשים שנפגעו להסיר את ההתקנה באופן מיידי ולבדוק את המערכות שלהם לאיתור פגיעה אפשרית. מומלץ מאוד לבצע שינויים באישורים, בדיקות אבטחה של הארנק וסריקות מערכת.

תקרית QuickLens מדגישה את סיכוני האבטחה הגדלים הקשורים לתוספי דפדפן. אפילו תוכנה שמתחילה ככלי לגיטימי עלולה להפוך לאיום כאשר הבעלות משתנה ועדכונים זדוניים מופצים דרך ערוצי עדכון רשמיים. מקרה זה מדגים כיצד יישומים מהימנים יכולים להיות נשק כדי לעקוף בקרות אבטחה, לגנוב נתונים רגישים ולבצע התקפות הנדסה חברתית בקנה מידה גדול.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
21,503
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...