QuickLens — meklēšanas ekrāns ar Google Lens ļaunprātīgo paplašinājumu
Pārlūkprogrammas paplašinājums QuickLens — Search Screen with Google Lens sākotnēji tika reklamēts kā ērts rīks attēlu meklēšanai ekrānā, satura tulkošanai un produktu informācijas izguvei, izmantojot vizuālus vaicājumus. Neskatoties uz tā likumīgo izskatu un funkcionalitāti, paplašinājums galu galā pārtapa par nopietnu kiberdrošības apdraudējumu. Izmeklēšanā atklājās, ka programmatūra saturēja ļaunprātīgus skriptus, kas spēj ievākt sensitīvu informāciju un uzsākt ClickFix sociālās inženierijas uzbrukumus inficētajām sistēmām.
Sākotnēji paplašinājumam bija liela lietotāju bāze, un tam bija liela uzticēšanās. Tomēr kritiskas pārmaiņas notika 2026. gada februārī, kad paplašinājums tika pārdots pārlūkprogrammas paplašinājumu tirgū un to pārņēma jauns īpašnieks, kas darbojās ar e-pasta adresi “support@doodlebuggle.top” un uzņēmuma nosaukumu LLC Quick Lens. Neilgi pēc iegādes tika ieviesta aizdomīga privātuma politika, kam sekoja ļaunprātīga atjauninājuma izlaišana, kas tika izplatīta visiem lietotājiem.
Satura rādītājs
Ļaunprātīgs atjauninājums, kas piegādāts, izmantojot oficiālus kanālus
Tā kā paplašinājumu jau bija instalējuši tūkstošiem lietotāju, ļaunprātīgais atjauninājums izplatījās ātri. Chrome interneta veikala automātiskās atjaunināšanas mehānisms piegādāja apdraudēto versiju tieši esošajām instalācijām, neprasot papildu lietotāja mijiedarbību.
Atjauninātā versija pieprasīja plašas pārlūkprogrammas atļaujas, kas ļāva tai uzraudzīt pārlūkošanas paradumus un modificēt vietņu aktivitātes. Šīs atļaujas ļāva paplašinājumam noņemt kritiskās drošības aizsardzības, ko parasti nodrošina vietnes. Drošības pasākumi, kas paredzēti ļaunprātīgu skriptu bloķēšanai, vietņu kadrēšanas novēršanai un noteiktu uzbrukumu metožu mazināšanai, tika atspējoti, ievērojami atvieglojot ievadītā ļaunprātīgā koda izpildi jebkurā upura apmeklētajā lapā.
Pastāvīga saziņa ar vadības un kontroles infrastruktūru
Pēc instalēšanas apdraudētais paplašinājums izveidoja saziņu ar attālo vadības un kontroles (C2) serveri. Ļaunprogrammatūra ģenerēja unikālu identifikatoru katram inficētajam lietotājam un apkopoja vides informāciju, piemēram, ģeogrāfisko atrašanās vietu, pārlūkprogrammas veidu un operētājsistēmu.
Paplašinājums uzturēja pastāvīgu saziņu ar attālo serveri, nosūtot pieprasījumus ik pēc piecām minūtēm. Šīs regulārās pārbaudes ļāva uzbrucējiem sniegt jaunas instrukcijas, atjaunināt ļaunprātīgu slodzi vai uzsākt papildu uzbrukuma darbības apdraudētajās sistēmās.
ClickFix sociālā inženierija un viltus atjauninājumu brīdinājumi
Ļaunprātīgā QuickLens versija ieviesa arī agresīvas sociālās inženierijas metodes. Tai bija iespēja ievietot skriptus jebkurā upura apmeklētajā tīmekļa lapā, ļaujot tai parādīt krāpnieciskus Google atjauninājumu paziņojumus.
Šie maldinošie brīdinājumi bija izstrādāti, lai atdarinātu likumīgus programmatūras atjauninājumu uzvednes. Patiesībā tie bija daļa no ClickFix stila uzbrukuma — tehnikas, kas manipulē ar lietotājiem, lai tie izpildītu kaitīgas komandas vai lejupielādētu papildu ļaunprogrammatūru. Rādot brīdinājumus vairākās tīmekļa vietnēs, uzbrucēji palielināja iespējamību, ka upuri uzticēsies uzvednei un izpildīs ļaunprātīgos norādījumus.
Kriptovalūtas maka un datu zādzības iespējas
Viena no bīstamākajām apdraudētā paplašinājuma funkcijām bija vērsta uz kriptovalūtas aktīviem un sensitīviem lietotāju datiem. Iegultie ļaunprātīgie skripti skenēja pārlūkprogrammas, meklējot instalētus kriptovalūtas makus, un mēģināja iegūt konfidenciālu informāciju, piemēram, maka sākuma frāzes, autentifikācijas akreditācijas datus un sensitīvus veidlapu datus.
Ļaunprogrammatūra ir īpaši vērsta pret šādām kriptovalūtas maku platformām:
- Argons
- Mugursoma
- Binance ķēdes maks
- Drosmīgais maciņš
- Coinbase maks
- Izceļošana
- MetaMaska
- Fantoms
- Solflare
- Uzticības maks
- WalletConnect
Papildus kriptovalūtas zādzībām paplašinājums spēja ievākt plašu sensitīvu datu klāstu, kas ievadīti tīmekļa vietnēs. Tas ietvēra pieteikšanās akreditācijas datus, maksājumu informāciju un citus personas datus, kas nosūtīti, izmantojot tīmekļa veidlapas.
Piekļuve tiešsaistes kontiem un biznesa platformām
Turpmāka analīze atklāja, ka ļaunprātīgais paplašinājums varēja piekļūt informācijai un iegūt no vairākām plaši izmantotām tiešsaistes platformām. Šīs iespējas paplašināja potenciālo kaitējumu ne tikai atsevišķiem lietotājiem, bet arī uzņēmumiem un satura veidotājiem.
Datu vākšanas iespējas ietvēra:
- E-pasta datu lasīšana Gmail iesūtnēs
- Reklāmas konta informācijas apkopošana no Facebook Business Manager
- Analītikas un darbības datu izgūšana no YouTube kanāliem
Šī funkcionalitāte radīja ievērojamus riskus organizācijām, kas pārvalda mārketinga kampaņas, finanšu kontus vai tiešsaistes multivides platformas, izmantojot skartās pārlūkprogrammas.
Paplašinājumu noņemšana un drošības ietekme
Pēc ļaunprātīgas darbības atklāšanas Google no Chrome interneta veikala noņēma un atspējoja paplašinājumu QuickLens — meklēšanas ekrāns ar Google Lens. Neskatoties uz šo darbību, sistēmas, kurās iepriekš tika instalēts paplašinājums, var joprojām būt apdraudētas, ja programmatūra joprojām ir pieejama.
Skartajiem lietotājiem nekavējoties jāatinstalē paplašinājums un jāpārbauda savas sistēmas, vai tās nav apdraudētas. Stingri ieteicams mainīt akreditācijas datus, veikt maka drošības pārbaudes un sistēmas skenēšanu.
QuickLens incidents izceļ pieaugošos drošības riskus, kas saistīti ar pārlūkprogrammas paplašinājumiem. Pat programmatūra, kas sākotnēji ir likumīgs rīks, var kļūt par apdraudējumu, mainoties īpašniekam un ļaunprātīgiem atjauninājumiem, izmantojot oficiālus atjauninājumu kanālus. Šis gadījums parāda, kā uzticamas lietojumprogrammas var izmantot kā ieroci, lai apietu drošības kontroles, nozagtu sensitīvus datus un veiktu liela mēroga sociālās inženierijas uzbrukumus.
