Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware QuickLens - Keresési képernyő a Google Lens rosszindulatú...

QuickLens - Keresési képernyő a Google Lens rosszindulatú bővítményével

Mezo -ra Malware, Lopók-ben
Fordítás ide:

A QuickLens - Search Screen with Google Lens böngészőbővítményt eredetileg a képernyőn megjelenő képek keresésére, a tartalom fordítására és a termékinformációk vizuális lekérdezéseken keresztüli lekérésére szolgáló kényelmes eszközként reklámozták. A legitim megjelenése és funkcionalitása ellenére a bővítmény végül komoly kiberbiztonsági fenyegetéssé vált. A vizsgálatok kimutatták, hogy a szoftver rosszindulatú szkripteket tartalmazott, amelyek képesek érzékeny információk gyűjtésére és ClickFix társadalmi manipulációs támadások indítására a fertőzött rendszereken.

A bővítmény kezdetben nagy felhasználói bázissal rendelkezett, és széles körben megbíztak benne. 2026 februárjában azonban kritikus változás történt, amikor a bővítményt egy böngészőbővítmény-piactéren eladták, és egy új tulajdonos vette át, amely a „support@doodlebuggle.top” e-mail címen és az LLC Quick Lens cégnév alatt működött. A felvásárlás után röviddel egy gyanús adatvédelmi szabályzatot vezettek be, majd egy rosszindulatú frissítést adtak ki, amelyet minden felhasználónak szétosztottak.

Rosszindulatú frissítés hivatalos csatornákon keresztül

Mivel a bővítményt már több ezer felhasználó telepítette, a rosszindulatú frissítés gyorsan terjedt. A Chrome Webáruház automatikus frissítési mechanizmusa a feltört verziót közvetlenül a meglévő telepítésekre szállította, további felhasználói beavatkozás nélkül.

A frissített verzió kiterjedt böngészőengedélyeket kért, amelyek lehetővé tették számára a böngészési viselkedés figyelését és a webhelytevékenység módosítását. Ezek az engedélyek lehetővé tették a bővítmény számára, hogy eltávolítsa a webhelyek által általában érvényesített kritikus biztonsági védelmeket. A rosszindulatú szkriptek blokkolására, a webhely-keretezés megakadályozására és bizonyos támadási technikák mérséklésére szolgáló biztonsági funkciókat letiltották, ami jelentősen megkönnyítette a befecskendezett rosszindulatú kódok végrehajtását az áldozat által meglátogatott oldalakon.

Állandó kommunikáció a parancsnoki és irányítási infrastruktúrával

A telepítés után a feltört bővítmény kommunikációt létesített egy távoli Command-and-Control (C2) szerverrel. A rosszindulatú program minden fertőzött felhasználóhoz egyedi azonosítót generált, és olyan környezeti információkat gyűjtött, mint a földrajzi hely, a böngésző típusa és az operációs rendszer.

A bővítmény állandó kommunikációt tartott fenn a távoli szerverrel ötpercenként küldött kérésekkel. Ezek a rendszeres bejelentkezések lehetővé tették a támadók számára, hogy új utasításokat küldjenek, frissítsék a rosszindulatú csomagokat, vagy további támadási műveleteket indítsanak a feltört rendszereken.

ClickFix szociális manipuláció és hamis frissítési értesítések

A QuickLens rosszindulatú verziója agresszív pszichológiai manipulációs technikákat is alkalmazott. Képes volt szkripteket beilleszteni az áldozat által meglátogatott weboldalakba, lehetővé téve az oldal számára a csalárd Google Update értesítések megjelenítését.

Ezek a megtévesztő riasztások a legitim szoftverfrissítési utasítások utánzására szolgáltak. Valójában egy ClickFix-stílusú támadás részét képezték, amely egy olyan technika, amely manipulálja a felhasználókat, hogy káros parancsokat hajtsanak végre, vagy további rosszindulatú programokat töltsenek le. Azzal, hogy a riasztásokat több webhelyen is megjelenítették, a támadók növelték annak valószínűségét, hogy az áldozatok megbíznak az utasításokban, és követik a rosszindulatú utasításokat.

Kriptovaluta tárca és adatlopási képességek

A feltört bővítmény egyik legveszélyesebb funkciója a kriptovaluta-eszközök és az érzékeny felhasználói adatok célba vétele volt. A beágyazott rosszindulatú szkriptek böngészőkben keresték a telepített kriptovaluta-tárcákat, és megpróbáltak bizalmas információkat, például tárca-indítómondatokat, hitelesítési adatokat és érzékeny űrlapadatokat kinyerni.

A rosszindulatú program kifejezetten a következő kriptovaluta-tárca platformokat célozta meg:

  • Argon
  • Hátizsák
  • Binance Chain pénztárca
  • Bátor pénztárca
  • Coinbase pénztárca
  • Kivonulás
  • MetaMaszk
  • Fantom
  • Solflare
  • Trust Wallet
  • WalletConnect

A kriptovaluta-lopáson túl a bővítmény képes volt a weboldalakra bevitt számos érzékeny adat begyűjtésére is. Ide tartoztak a bejelentkezési adatok, a fizetési információk és a webes űrlapokon keresztül továbbított egyéb személyes adatok.

Hozzáférés online fiókokhoz és üzleti platformokhoz

További elemzések kimutatták, hogy a rosszindulatú bővítmény több széles körben használt online platformról is hozzáférhetett és információkat kinyerhetett. Ezek a képességek kiterjesztették a potenciális károkat az egyéni felhasználókon túl a vállalkozásokra és a tartalomkészítőkre is.

Az adatgyűjtési képességek a következők voltak:

  • E-mail adatok olvasása a Gmail postaládáiban
  • Hirdetési fiókadatok gyűjtése a Facebook Business Managerből
  • Analitikai és működési adatok lekérése YouTube-csatornákról

Ez a funkció jelentős kockázatokat teremtett a marketingkampányokat, pénzügyi számlákat vagy online médiaplatformokat kezelő szervezetek számára az érintett böngészőkön keresztül.

Bővítmény eltávolítása és biztonsági vonatkozásai

A rosszindulatú tevékenység felfedezését követően a Google eltávolította és letiltotta a QuickLens - Keresési képernyő Google Lensszel bővítményt a Chrome Webáruházból. Ennek ellenére a bővítményt korábban telepítő rendszerek továbbra is veszélyben lehetnek, ha a szoftver továbbra is jelen van.

Az érintett felhasználóknak azonnal el kell távolítaniuk a bővítményt, és ellenőrizniük kell rendszereiket az esetleges biztonsági rések szempontjából. Erősen ajánlott a hitelesítő adatok módosítása, a pénztárca biztonsági ellenőrzése és a rendszerszkennelés.

A QuickLens incidens rávilágít a böngészőbővítményekkel kapcsolatos növekvő biztonsági kockázatokra. Még a legitim eszközként induló szoftverek is fenyegetést jelenthetnek, ha a tulajdonos megváltozik, és a rosszindulatú frissítések hivatalos frissítési csatornákon keresztül kerülnek terjesztésre. Ez az eset jól mutatja, hogyan lehet a megbízható alkalmazásokat fegyverként használni a biztonsági ellenőrzések megkerülésére, az érzékeny adatok ellopására és a nagyszabású szociális manipulációs támadások végrehajtására.

Felkapott

Legnézettebb

Betöltés...