QuickLens - Zaslon za pretraživanje sa zlonamjernim proširenjem Google Lens

Proširenje preglednika QuickLens - Search Screen with Google Lens izvorno je promovirano kao praktičan alat za pretraživanje slika na zaslonu, prevođenje sadržaja i dohvaćanje informacija o proizvodu putem vizualnih upita. Unatoč legitimnom izgledu i funkcionalnosti, proširenje se na kraju razvilo u ozbiljnu prijetnju kibernetičkoj sigurnosti. Istrage su otkrile da softver sadrži zlonamjerne skripte sposobne za prikupljanje osjetljivih informacija i pokretanje ClickFix napada socijalnog inženjeringa na zaraženim sustavima.

U početku je ekstenzija imala veliku postojeću bazu korisnika i uživala je veliko povjerenje. Međutim, ključna promjena dogodila se u veljači 2026. kada je ekstenzija prodana na tržištu ekstenzija za preglednike i preuzeo ju je novi vlasnik koji posluje pod adresom e-pošte 'support@doodlebuggle.top' i nazivom tvrtke LLC Quick Lens. Ubrzo nakon akvizicije uvedena je sumnjiva politika privatnosti, nakon čega je uslijedilo objavljivanje zlonamjernog ažuriranja distribuiranog svim korisnicima.

Zlonamjerno ažuriranje dostavljeno putem službenih kanala

Budući da je proširenje već bilo instalirano od strane tisuća korisnika, zlonamjerno ažuriranje se brzo proširilo. Mehanizam automatskog ažuriranja Chrome web trgovine isporučio je kompromitovanu verziju izravno na postojeće instalacije bez potrebe za dodatnom interakcijom korisnika.

Ažurirana verzija zahtijevala je opsežne dozvole preglednika koje su joj omogućavale praćenje ponašanja pregledavanja i izmjenu aktivnosti web stranice. Te su dozvole omogućile proširenju uklanjanje kritičnih sigurnosnih zaštita koje inače provode web stranice. Zaštitne mjere osmišljene za blokiranje zlonamjernih skripti, sprječavanje uokvirivanja web stranice i ublažavanje određenih tehnika napada bile su onemogućene, što je znatno olakšalo izvršavanje ubrizganog zlonamjernog koda na bilo kojoj stranici koju posjeti žrtva.

Stalna komunikacija s infrastrukturom zapovijedanja i upravljanja

Nakon instalacije, kompromitirano proširenje uspostavilo je komunikaciju s udaljenim Command-and-Control (C2) poslužiteljem. Zlonamjerni softver generirao je jedinstveni identifikator za svakog zaraženog korisnika i prikupljao podatke o okruženju poput geografske lokacije, vrste preglednika i operativnog sustava.

Proširenje je održavalo trajnu komunikaciju s udaljenim poslužiteljem slanjem zahtjeva svakih pet minuta. Ove redovite provjere omogućile su napadačima da isporuče nove upute, ažuriraju zlonamjerne podatke ili pokrenu dodatne napade na kompromitirane sustave.

ClickFixov društveni inženjering i upozorenja o lažnim ažuriranjima

Zlonamjerna verzija QuickLensa također je implementirala agresivne tehnike društvenog inženjeringa. Imala je mogućnost ubrizgavanja skripti u bilo koju web stranicu koju posjeti žrtva, omogućujući joj prikazivanje lažnih obavijesti Google Updatea.

Ova obmanjujuća upozorenja bila su osmišljena kako bi oponašala legitimne upite za ažuriranje softvera. U stvarnosti, bila su dio napada u stilu ClickFixa, tehnike koja manipulira korisnicima da izvršavaju štetne naredbe ili preuzimaju dodatni zlonamjerni softver. Prikazujući upozorenja na više web stranica, napadači su povećali vjerojatnost da će žrtve vjerovati upitu i slijediti zlonamjerne upute.

Mogućnosti kriptovalutnog novčanika i krađe podataka

Jedna od najopasnijih funkcija kompromitiranog proširenja uključivala je ciljanje kriptovalutne imovine i osjetljivih korisničkih podataka. Ugrađeni zlonamjerni skripti skenirali su preglednike u potrazi za instaliranim kriptovalutnim novčanicima i pokušavali izvući povjerljive informacije poput početnih fraza novčanika, vjerodajnica za autentifikaciju i osjetljivih podataka iz obrazaca.

Zlonamjerni softver je posebno ciljao sljedeće platforme kriptovalutnih novčanika:

• Argon
• Ruksak
• Binance lanac novčanik
• Hrabri novčanik
• Coinbase novčanik
• Izlazak
• MetaMaska
• Fantom
• Solflare
• Pouzdani novčanik
• WalletConnect

Osim krađe kriptovaluta, ekstenzija je bila sposobna prikupljati širok raspon osjetljivih podataka unesenih na web stranice. To je uključivalo podatke za prijavu, podatke o plaćanju i druge osobne podatke prenesene putem web obrazaca.

Pristup online računima i poslovnim platformama

Daljnja analiza otkrila je da zlonamjerno proširenje može pristupiti i izvući informacije s nekoliko široko korištenih online platformi. Ove mogućnosti proširile su potencijalnu štetu s pojedinačnih korisnika na tvrtke i kreatore sadržaja.

Mogućnosti prikupljanja podataka uključivale su:

• Čitanje podataka e-pošte unutar pristigle pošte Gmaila
• Prikupljanje podataka o oglašivačkom računu od Facebook Business Managera
• Dohvaćanje analitičkih i operativnih podataka s YouTube kanala

Ova funkcionalnost stvorila je značajne rizike za organizacije koje upravljaju marketinškim kampanjama, financijskim računima ili online medijskim platformama putem pogođenih preglednika.

Uklanjanje proširenja i sigurnosne implikacije

Nakon otkrića zlonamjerne aktivnosti, Google je uklonio i onemogućio proširenje QuickLens - Search Screen with Google Lens iz Chrome web trgovine. Unatoč toj akciji, sustavi koji su prethodno instalirali proširenje mogu ostati u opasnosti ako je softver još uvijek prisutan.

Pogođeni korisnici trebaju odmah deinstalirati proširenje i pregledati svoje sustave radi mogućeg kompromitiranja. Toplo se preporučuju promjene vjerodajnica, sigurnosne provjere novčanika i skeniranje sustava.

Incident s QuickLensom naglašava rastuće sigurnosne rizike povezane s proširenjima preglednika. Čak i softver koji u početku predstavlja legitimni alat može postati prijetnja kada se vlasništvo promijeni, a zlonamjerna ažuriranja distribuiraju putem službenih kanala ažuriranja. Ovaj slučaj pokazuje kako se pouzdane aplikacije mogu iskoristiti kao oružje za zaobilaženje sigurnosnih kontrola, krađu osjetljivih podataka i provođenje velikih napada društvenim inženjeringom.