„QuickLens“ – paieškos ekranas su kenkėjišku „Google Lens“ plėtiniu
Naršyklės plėtinys „QuickLens – Search Screen with Google Lens“ iš pradžių buvo reklamuojamas kaip patogi priemonė ekrane rodomiems vaizdams ieškoti, turiniui versti ir produktų informacijai gauti naudojant vaizdines užklausas. Nepaisant teisėtos išvaizdos ir funkcionalumo, plėtinys galiausiai tapo rimta kibernetinio saugumo grėsme. Tyrimai parodė, kad programinėje įrangoje buvo kenkėjiškų scenarijų, galinčių rinkti slaptą informaciją ir paleisti „ClickFix“ socialinės inžinerijos atakas užkrėstose sistemose.
Iš pradžių plėtinys turėjo didelę naudotojų bazę ir buvo plačiai pasitikima. Tačiau esminis pokytis įvyko 2026 m. vasarį, kai plėtinys buvo parduotas naršyklės plėtinių prekyvietėje ir jį perėmė naujas savininkas, veikiantis el. pašto adresu „support@doodlebuggle.top“ ir įmonės pavadinimu „LLC Quick Lens“. Netrukus po įsigijimo buvo pristatyta įtartina privatumo politika, o po to išleistas kenkėjiškas atnaujinimas, išplatintas visiems naudotojams.
Turinys
Kenkėjiškas atnaujinimas, pateiktas oficialiais kanalais
Kadangi plėtinį jau buvo įdiegę tūkstančiai vartotojų, kenkėjiškas atnaujinimas greitai išplito. „Chrome“ internetinės parduotuvės automatinis atnaujinimo mechanizmas pateikė pažeistą versiją tiesiai į esamas instaliacijas, nereikalaujant papildomo vartotojo įsikišimo.
Atnaujinta versija pareikalavo išsamių naršyklės leidimų, kurie leido jai stebėti naršymo elgseną ir modifikuoti svetainės veiklą. Šie leidimai leido plėtiniui pašalinti svarbiausias saugumo priemones, kurias paprastai taiko svetainės. Apsaugos priemonės, skirtos blokuoti kenkėjiškus scenarijus, užkirsti kelią svetainių įrėminimui ir sušvelninti tam tikrus atakų metodus, buvo išjungtos, todėl įterptam kenkėjiškam kodui buvo gerokai lengviau vykdyti bet kuriame aukos aplankytame puslapyje.
Nuolatinis ryšys su valdymo ir kontrolės infrastruktūra
Įdiegus pažeistą plėtinį, jis užmezgė ryšį su nuotoliniu „Command-and-Control“ (C2) serveriu. Kenkėjiška programa kiekvienam užkrėstam vartotojui sugeneravo unikalų identifikatorių ir rinko aplinkos informaciją, pvz., geografinę vietą, naršyklės tipą ir operacinę sistemą.
Plėtinys palaikė nuolatinį ryšį su nuotoliniu serveriu, siųsdamas užklausas kas penkias minutes. Šie reguliarūs patikrinimai leido užpuolikams pateikti naujas instrukcijas, atnaujinti kenkėjiškas apkrovas arba pradėti papildomus atakos veiksmus pažeistose sistemose.
„ClickFix“ socialinės inžinerijos ir netikrų atnaujinimų įspėjimai
Kenkėjiška „QuickLens“ versija taip pat įdiegė agresyvias socialinės inžinerijos technikas. Ji galėjo įterpti scenarijus į bet kurį aukos aplankytą tinklalapį, taip leisdama jam rodyti apgaulingus „Google Update“ pranešimus.
Šie klaidinantys įspėjimai buvo sukurti taip, kad imituotų teisėtus programinės įrangos atnaujinimo raginimus. Iš tikrųjų jie buvo „ClickFix“ stiliaus atakos dalis – technika, kuria manipuliuojama vartotojais, kad jie vykdytų kenksmingas komandas arba atsisiųstų papildomą kenkėjišką programinę įrangą. Pateikdami įspėjimus keliose svetainėse, užpuolikai padidino tikimybę, kad aukos pasitikės raginimu ir vykdys kenkėjiškas instrukcijas.
Kriptovaliutų piniginė ir duomenų vagystės galimybės
Viena pavojingiausių pažeisto plėtinio funkcijų buvo susijusi su kriptovaliutų turtu ir jautriais vartotojų duomenimis. Įdiegti kenkėjiški scenarijai nuskaitė naršykles, ieškodami įdiegtų kriptovaliutų piniginių, ir bandė išgauti konfidencialią informaciją, pvz., piniginės pradinius kodus, autentifikavimo duomenis ir jautrius formų duomenis.
Kenkėjiška programa konkrečiai buvo nukreipta į šias kriptovaliutų piniginių platformas:
- Argonas
- Kuprinė
- Binance grandinės piniginė
- Drąsi piniginė
- „Coinbase“ piniginė
- Išėjimas
- MetaMask
- Fantomas
- Solflare
- Pasitikėjimo piniginė
- „WalletConnect“
Be kriptovaliutų vagystės, plėtinys galėjo rinkti daugybę į svetaines įvedamų jautrių duomenų. Tai apėmė prisijungimo duomenis, mokėjimo informaciją ir kitus asmens duomenis, perduodamus per internetines formas.
Prieiga prie internetinių paskyrų ir verslo platformų
Tolesnė analizė atskleidė, kad kenkėjiškas plėtinys galėjo pasiekti ir išgauti informaciją iš kelių plačiai naudojamų internetinių platformų. Šios galimybės išplėtė galimą žalą ne tik individualiems vartotojams, bet ir įmonėms bei turinio kūrėjams.
Duomenų rinkimo galimybės apėmė:
- El. pašto duomenų skaitymas „Gmail“ gautuosiuose
- Reklamos paskyros informacijos rinkimas iš „Facebook Business Manager“
- Analizės ir veiklos duomenų gavimas iš „YouTube“ kanalų
Ši funkcija sukėlė didelę riziką organizacijoms, valdančioms rinkodaros kampanijas, finansines sąskaitas ar internetinės žiniasklaidos platformas per paveiktas naršykles.
Plėtinio pašalinimas ir saugumo pasekmės
Aptikusi kenkėjišką veiklą, „Google“ pašalino ir išjungė plėtinį „QuickLens – Search Screen with Google Lens“ iš „Chrome“ internetinės parduotuvės. Nepaisant šio veiksmo, sistemos, kuriose anksčiau buvo įdiegtas plėtinys, gali likti pažeidžiamos, jei programinė įranga vis dar yra.
Pažeisti naudotojai turėtų nedelsdami pašalinti plėtinį ir peržiūrėti savo sistemas dėl galimo pažeidimo. Primygtinai rekomenduojama pakeisti prisijungimo duomenis, atlikti piniginės saugumo patikrinimus ir sistemos nuskaitymus.
„QuickLens“ incidentas išryškina augančią saugumo riziką, susijusią su naršyklės plėtiniais. Net programinė įranga, kuri iš pradžių yra teisėta priemonė, gali tapti grėsme, kai pasikeičia savininkas ir oficialiais atnaujinimų kanalais platinami kenkėjiški atnaujinimai. Šis atvejis parodo, kaip patikimos programos gali būti naudojamos apeiti saugumo kontrolę, pavogti slaptus duomenis ir vykdyti didelio masto socialinės inžinerijos atakas.
