QuickLens – Søkeskjerm med skadelig utvidelse fra Google Lens

Nettleserutvidelsen QuickLens – Search Screen with Google Lens ble opprinnelig markedsført som et praktisk verktøy for å søke etter bilder på skjermen, oversette innhold og hente produktinformasjon gjennom visuelle søk. Til tross for sitt legitime utseende og funksjonalitet, utviklet utvidelsen seg til slutt til en alvorlig cybersikkerhetstrussel. Undersøkelser avdekket at programvaren inneholdt ondsinnede skript som var i stand til å samle sensitiv informasjon og iverksette ClickFix-angrep med sosial manipulering på infiserte systemer.

I utgangspunktet hadde utvidelsen en stor eksisterende brukerbase og var bredt anerkjent. Imidlertid skjedde en kritisk endring i februar 2026, da utvidelsen ble solgt på en markedsplass for nettleserutvidelser og overtatt av en ny eier som opererte under e-postadressen 'support@doodlebuggle.top' og firmanavnet LLC Quick Lens. Kort tid etter oppkjøpet ble en mistenkelig personvernpolicy introdusert, etterfulgt av utgivelsen av en ondsinnet oppdatering distribuert til alle brukere.

Ondsinnet oppdatering levert via offisielle kanaler

Fordi utvidelsen allerede var installert av tusenvis av brukere, spredte den skadelige oppdateringen seg raskt. Chrome Nettmarkeds automatiske oppdateringsmekanisme leverte den kompromitterte versjonen direkte til eksisterende installasjoner uten at det krevdes ytterligere brukerinteraksjon.

Den oppdaterte versjonen krevde omfattende nettlesertillatelser som tillot den å overvåke nettleseratferd og endre nettstedsaktivitet. Disse tillatelsene gjorde det mulig for utvidelsen å fjerne kritiske sikkerhetstiltak som vanligvis håndheves av nettsteder. Sikkerhetsmekanismer som er utformet for å blokkere ondsinnede skript, forhindre nettstedsinnramming og redusere visse angrepsteknikker ble deaktivert, noe som gjorde det betydelig enklere for injisert ondsinnet kode å kjøre på enhver side som offeret besøker.

Vedvarende kommunikasjon med kommando- og kontrollinfrastruktur

Etter installasjonen opprettet den kompromitterte utvidelsen kommunikasjon med en ekstern kommando-og-kontroll-server (C2). Skadevaren genererte en unik identifikator for hver infiserte bruker og samlet inn miljøinformasjon som geografisk plassering, nettlesertype og operativsystem.

Utvidelsen opprettholdt vedvarende kommunikasjon med den eksterne serveren ved å sende forespørsler hvert femte minutt. Disse regelmessige innsjekkingene tillot angriperne å levere nye instruksjoner, oppdatere skadelige nyttelaster eller iverksette ytterligere angrepshandlinger på kompromitterte systemer.

ClickFix sosial manipulering og falske oppdateringsvarsler

Den ondsinnede versjonen av QuickLens implementerte også aggressive sosialtekniske teknikker. Den hadde muligheten til å injisere skript i enhver nettside som offeret besøkte, slik at den kunne vise falske Google Update-varsler.

Disse villedende varslene var utformet for å etterligne legitime programvareoppdateringsmeldinger. I virkeligheten var de en del av et ClickFix-lignende angrep, en teknikk som manipulerer brukere til å utføre skadelige kommandoer eller laste ned ytterligere skadelig programvare. Ved å presentere varslene på tvers av flere nettsteder økte angriperne sannsynligheten for at ofrene ville stole på meldingen og følge de ondsinnede instruksjonene.

Kryptovaluta-lommebok og datatyverifunksjoner

En av de farligste funksjonene til den kompromitterte utvidelsen involverte målretting av kryptovaluta-ressurser og sensitive brukerdata. De innebygde, ondsinnede skriptene skannet nettlesere etter installerte kryptovaluta-lommebøker og forsøkte å trekke ut konfidensiell informasjon som lommebok-frøfraser, autentiseringslegitimasjon og sensitive skjemadata.

Skadevaren var spesifikt rettet mot følgende kryptovaluta-lommebokplattformer:

• Argon
• Ryggsekk
• Binance Chain-lommebok
• Modig lommebok
• Coinbase-lommebok
• Exodus
• MetaMaske
• Fantomet
• Solflare
• Tillitslommebok
• WalletConnect

Utover kryptovalutatyveri, var utvidelsen i stand til å samle inn et bredt spekter av sensitive data som ble lagt inn på nettsteder. Dette inkluderte påloggingsinformasjon, betalingsinformasjon og andre personopplysninger som ble overført via nettskjemaer.

Tilgang til nettkontoer og forretningsplattformer

Videre analyse avdekket at den skadelige utvidelsen kunne få tilgang til og trekke ut informasjon fra flere mye brukte nettplattformer. Disse funksjonene utvidet den potensielle skaden utover individuelle brukere til bedrifter og innholdsskapere.

Datainnsamlingsmulighetene inkluderte:

• Lese e-postdata i Gmail-innbokser
• Innsamling av annonsekontoinformasjon fra Facebook Business Manager
• Henting av analyse- og driftsdata fra YouTube-kanaler

Denne funksjonaliteten skapte betydelige risikoer for organisasjoner som administrerer markedsføringskampanjer, økonomiske kontoer eller nettbaserte medieplattformer gjennom berørte nettlesere.

Fjerning av utvidelser og sikkerhetsmessige implikasjoner

Etter at den ondsinnede aktiviteten ble oppdaget, fjernet og deaktiverte Google QuickLens – Search Screen with Google Lens-utvidelsen fra Chrome Nettmarked. Til tross for dette tiltaket kan systemer som tidligere har installert utvidelsen fortsatt være i faresonen hvis programvaren fortsatt er tilgjengelig.

Berørte brukere bør umiddelbart avinstallere utvidelsen og se etter potensielle sikkerhetsbrudd i systemene sine. Endringer av legitimasjon, sikkerhetskontroller av lommeboken og systemskanninger anbefales på det sterkeste.

QuickLens-hendelsen fremhever de økende sikkerhetsrisikoene knyttet til nettleserutvidelser. Selv programvare som starter som et legitimt verktøy kan bli en trussel når eierskapet endres og ondsinnede oppdateringer distribueres gjennom offisielle oppdateringskanaler. Denne saken demonstrerer hvordan pålitelige applikasjoner kan utnyttes som våpen for å omgå sikkerhetskontroller, stjele sensitive data og utføre storstilte sosialtekniske angrep.