QuickLens - Schermata di ricerca con estensione dannosa di Google Lens
L'estensione del browser QuickLens - Search Screen con Google Lens è stata originariamente promossa come uno strumento utile per cercare immagini sullo schermo, tradurre contenuti e recuperare informazioni sui prodotti tramite query visive. Nonostante il suo aspetto e le sue funzionalità legittimi, l'estensione si è trasformata in una seria minaccia per la sicurezza informatica. Le indagini hanno rivelato che il software conteneva script dannosi in grado di raccogliere informazioni sensibili e lanciare attacchi di ingegneria sociale ClickFix sui sistemi infetti.
Inizialmente, l'estensione vantava un'ampia base di utenti e godeva di grande fiducia. Tuttavia, un cambiamento critico si verificò nel febbraio 2026, quando l'estensione fu venduta su un marketplace di estensioni per browser e acquisita da un nuovo proprietario, operante con l'indirizzo email "support@doodlebuggle.top" e il nome dell'azienda LLC Quick Lens. Poco dopo l'acquisizione, fu introdotta un'informativa sulla privacy sospetta, seguita dal rilascio di un aggiornamento dannoso distribuito a tutti gli utenti.
Sommario
Aggiornamento dannoso distribuito tramite canali ufficiali
Poiché l'estensione era già installata da migliaia di utenti, l'aggiornamento dannoso si è diffuso rapidamente. Il meccanismo di aggiornamento automatico del Chrome Web Store ha distribuito la versione compromessa direttamente alle installazioni esistenti, senza richiedere ulteriore interazione da parte dell'utente.
La versione aggiornata richiedeva autorizzazioni estese del browser che consentissero di monitorare il comportamento di navigazione e modificare l'attività dei siti web. Queste autorizzazioni hanno permesso all'estensione di rimuovere le protezioni di sicurezza critiche normalmente applicate dai siti web. Le misure di sicurezza progettate per bloccare gli script dannosi, impedire il framing dei siti e mitigare determinate tecniche di attacco sono state disabilitate, rendendo significativamente più facile l'esecuzione del codice dannoso iniettato su qualsiasi pagina visitata dalla vittima.
Comunicazione persistente con l’infrastruttura di comando e controllo
Dopo l'installazione, l'estensione compromessa ha stabilito una comunicazione con un server di comando e controllo (C2) remoto. Il malware ha generato un identificatore univoco per ciascun utente infetto e ha raccolto informazioni ambientali come posizione geografica, tipo di browser e sistema operativo.
L'estensione manteneva una comunicazione persistente con il server remoto inviando richieste ogni cinque minuti. Questi controlli regolari consentivano agli aggressori di fornire nuove istruzioni, aggiornare payload dannosi o avviare ulteriori azioni di attacco sui sistemi compromessi.
ClickFix Social Engineering e avvisi di aggiornamenti falsi
La versione dannosa di QuickLens implementava anche tecniche aggressive di ingegneria sociale. Era in grado di iniettare script in qualsiasi pagina web visitata dalla vittima, consentendole di visualizzare notifiche fraudolente di Google Update.
Questi avvisi ingannevoli erano progettati per imitare le legittime richieste di aggiornamento software. In realtà, facevano parte di un attacco in stile ClickFix, una tecnica che manipola gli utenti inducendoli a eseguire comandi dannosi o a scaricare malware aggiuntivo. Presentando gli avvisi su più siti web, gli aggressori aumentavano la probabilità che le vittime si fidassero della richiesta e seguissero le istruzioni dannose.
Portafoglio di criptovalute e capacità di furto di dati
Una delle funzioni più pericolose dell'estensione compromessa riguardava il targeting di asset di criptovalute e dati sensibili degli utenti. Gli script dannosi incorporati analizzavano i browser alla ricerca di wallet di criptovalute installati e tentavano di estrarre informazioni riservate come frasi seed del wallet, credenziali di autenticazione e dati sensibili dei moduli.
Il malware ha preso di mira specificamente le seguenti piattaforme di wallet per criptovalute:
- Argon
- Zaino
- Portafoglio Binance Chain
- Portafoglio coraggioso
- Portafoglio Coinbase
- Esodo
- MetaMask
- Fantasma
- Solflare
- Portafoglio fiduciario
- WalletConnect
Oltre al furto di criptovalute, l'estensione era in grado di raccogliere un'ampia gamma di dati sensibili inseriti nei siti web. Tra questi, credenziali di accesso, informazioni di pagamento e altri dati personali trasmessi tramite moduli web.
Accesso a conti online e piattaforme aziendali
Ulteriori analisi hanno rivelato che l'estensione dannosa poteva accedere ed estrarre informazioni da diverse piattaforme online ampiamente utilizzate. Queste capacità hanno ampliato il potenziale danno non solo ai singoli utenti, ma anche ad aziende e creatori di contenuti.
Le capacità di raccolta dati includevano:
- Lettura dei dati di posta elettronica nelle caselle di posta di Gmail
- Raccolta di informazioni sull'account pubblicitario da Facebook Business Manager
- Recupero di dati analitici e operativi dai canali YouTube
Questa funzionalità ha creato rischi significativi per le organizzazioni che gestiscono campagne di marketing, conti finanziari o piattaforme di media online tramite i browser interessati.
Rimozione dell’estensione e implicazioni sulla sicurezza
In seguito alla scoperta dell'attività dannosa, Google ha rimosso e disattivato l'estensione QuickLens - Search Screen con Google Lens dal Chrome Web Store. Nonostante questa azione, i sistemi su cui era stata precedentemente installata l'estensione potrebbero rimanere a rischio se il software è ancora presente.
Gli utenti interessati devono disinstallare immediatamente l'estensione e verificare che i propri sistemi non siano compromessi. Si consiglia vivamente di modificare le credenziali, effettuare controlli di sicurezza del portafoglio e scansioni di sistema.
L'incidente di QuickLens evidenzia i crescenti rischi per la sicurezza associati alle estensioni del browser. Anche un software che inizialmente sembrava uno strumento legittimo può trasformarsi in una minaccia quando i cambi di proprietà e gli aggiornamenti dannosi vengono distribuiti tramite i canali di aggiornamento ufficiali. Questo caso dimostra come le applicazioni affidabili possano essere sfruttate per aggirare i controlli di sicurezza, rubare dati sensibili e condurre attacchi di ingegneria sociale su larga scala.
