क्विकलेन्स - गुगल लेन्स दुर्भावनापूर्ण एक्सटेन्सनको साथ खोजी स्क्रिन
ब्राउजर एक्सटेन्सन क्विकलेन्स - गुगल लेन्सको साथ खोज स्क्रिन मूल रूपमा अन-स्क्रिन छविहरू खोज्न, सामग्री अनुवाद गर्न, र दृश्य प्रश्नहरू मार्फत उत्पादन जानकारी प्राप्त गर्न एक सुविधाजनक उपकरणको रूपमा प्रचार गरिएको थियो। यसको वैध उपस्थिति र कार्यक्षमताको बावजुद, एक्सटेन्सन अन्ततः गम्भीर साइबर सुरक्षा खतरामा विकसित भयो। अनुसन्धानले पत्ता लगायो कि सफ्टवेयरमा संवेदनशील जानकारी सङ्कलन गर्न र संक्रमित प्रणालीहरूमा क्लिकफिक्स सामाजिक इन्जिनियरिङ आक्रमणहरू सुरु गर्न सक्षम दुर्भावनापूर्ण स्क्रिप्टहरू थिए।
सुरुमा, एक्सटेन्सनको ठूलो अवस्थित प्रयोगकर्ता आधार थियो र यसलाई व्यापक रूपमा विश्वास गरिएको थियो। यद्यपि, फेब्रुअरी २०२६ मा एउटा महत्वपूर्ण परिवर्तन भयो, जब एक्सटेन्सन ब्राउजर एक्सटेन्सन बजारमा बेचियो र 'support@doodlebuggle.top' इमेल ठेगाना र कम्पनी नाम LLC Quick Lens अन्तर्गत सञ्चालन हुने नयाँ मालिकद्वारा कब्जा गरियो। अधिग्रहणको केही समय पछि, एक शंकास्पद गोपनीयता नीति प्रस्तुत गरियो, त्यसपछि सबै प्रयोगकर्ताहरूलाई वितरण गरिएको दुर्भावनापूर्ण अपडेट जारी गरियो।
सामग्रीको तालिका
आधिकारिक च्यानलहरू मार्फत दुर्भावनापूर्ण अपडेट डेलिभर गरियो
एक्सटेन्सन पहिले नै हजारौं प्रयोगकर्ताहरूद्वारा स्थापना गरिएको हुनाले, दुर्भावनापूर्ण अपडेट छिटो फैलियो। क्रोम वेब स्टोरको स्वचालित अपडेट संयन्त्रले अतिरिक्त प्रयोगकर्ता अन्तरक्रियाको आवश्यकता बिना नै सम्झौता गरिएको संस्करणलाई सिधै अवस्थित स्थापनाहरूमा डेलिभर गर्यो।
अद्यावधिक गरिएको संस्करणले व्यापक ब्राउजर अनुमतिहरू अनुरोध गर्यो जसले यसलाई ब्राउजिङ व्यवहार निगरानी गर्न र वेबसाइट गतिविधि परिमार्जन गर्न अनुमति दियो। यी अनुमतिहरूले एक्सटेन्सनलाई वेबसाइटहरूद्वारा सामान्यतया लागू गरिने महत्वपूर्ण सुरक्षा सुरक्षाहरू हटाउन सक्षम बनायो। दुर्भावनापूर्ण स्क्रिप्टहरू रोक्न, साइट फ्रेमिङ रोक्न र केही आक्रमण प्रविधिहरूलाई कम गर्न डिजाइन गरिएका सुरक्षा उपायहरू असक्षम पारिएका थिए, जसले गर्दा पीडितले भ्रमण गरेको कुनै पनि पृष्ठमा इन्जेक्टेड दुर्भावनापूर्ण कोड कार्यान्वयन गर्न धेरै सजिलो भयो।
कमाण्ड-एण्ड-कन्ट्रोल पूर्वाधारसँग निरन्तर सञ्चार
स्थापना पछि, सम्झौता गरिएको एक्सटेन्सनले रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार स्थापित गर्यो। मालवेयरले प्रत्येक संक्रमित प्रयोगकर्ताको लागि एक अद्वितीय पहिचानकर्ता उत्पन्न गर्यो र भौगोलिक स्थान, ब्राउजर प्रकार, र अपरेटिङ सिस्टम जस्ता वातावरणीय जानकारी सङ्कलन गर्यो।
एक्सटेन्सनले प्रत्येक पाँच मिनेटमा अनुरोधहरू पठाएर रिमोट सर्भरसँग निरन्तर सञ्चार कायम राख्यो। यी नियमित चेक-इनहरूले आक्रमणकारीहरूलाई नयाँ निर्देशनहरू प्रदान गर्न, दुर्भावनापूर्ण पेलोडहरू अद्यावधिक गर्न, वा सम्झौता गरिएका प्रणालीहरूमा थप आक्रमण कार्यहरू सुरु गर्न अनुमति दियो।
क्लिकफिक्स सामाजिक इन्जिनियरिङ र नक्कली अपडेट अलर्टहरू
QuickLens को दुर्भावनापूर्ण संस्करणले आक्रामक सामाजिक इन्जिनियरिङ प्रविधिहरू पनि लागू गर्यो। यसमा पीडितले भ्रमण गरेको कुनै पनि वेबपेजमा स्क्रिप्टहरू इन्जेक्ट गर्ने क्षमता थियो, जसले गर्दा यसले जालसाजीपूर्ण गुगल अपडेट सूचनाहरू प्रदर्शन गर्न सक्थ्यो।
यी भ्रामक अलर्टहरू वैध सफ्टवेयर अपडेट प्रम्प्टहरूको नक्कल गर्न डिजाइन गरिएको थियो। वास्तवमा, तिनीहरू क्लिकफिक्स-शैली आक्रमणको अंश बने, एक प्रविधि जसले प्रयोगकर्ताहरूलाई हानिकारक आदेशहरू कार्यान्वयन गर्न वा थप मालवेयर डाउनलोड गर्न हेरफेर गर्दछ। धेरै वेबसाइटहरूमा अलर्टहरू प्रस्तुत गरेर, आक्रमणकारीहरूले पीडितहरूले प्रम्प्टमा विश्वास गर्ने र दुर्भावनापूर्ण निर्देशनहरू पालना गर्ने सम्भावना बढाए।
क्रिप्टोकरेन्सी वालेट र डेटा चोरी क्षमताहरू
सम्झौता गरिएको एक्सटेन्सनको सबैभन्दा खतरनाक कार्यहरू मध्ये एक क्रिप्टोकरेन्सी सम्पत्ति र संवेदनशील प्रयोगकर्ता डेटालाई लक्षित गर्नु थियो। इम्बेडेड मालिसियस स्क्रिप्टहरूले स्थापित क्रिप्टोकरेन्सी वालेटहरूको लागि ब्राउजरहरू स्क्यान गर्थे र वालेट सीड वाक्यांशहरू, प्रमाणीकरण प्रमाणहरू, र संवेदनशील फारम डेटा जस्ता गोप्य जानकारी निकाल्ने प्रयास गर्थे।
मालवेयरले विशेष गरी निम्न क्रिप्टोकरेन्सी वालेट प्लेटफर्महरूलाई लक्षित गरेको थियो:
- आर्गन
- झोला
- Binance Chain वालेट
- Brave वालेट
- Coinbase वालेट
- प्रस्थान
- मेटामास्क
- प्रेत
- सोलफ्लेयर
- ट्रस्ट वालेट
- वालेट कनेक्ट
क्रिप्टोकरेन्सी चोरी बाहेक, एक्सटेन्सनले वेबसाइटहरूमा प्रविष्ट गरिएका संवेदनशील डेटाको विस्तृत दायरा सङ्कलन गर्न सक्षम थियो। यसमा लगइन प्रमाणहरू, भुक्तानी जानकारी, र वेब फारमहरू मार्फत प्रसारित अन्य व्यक्तिगत डेटा समावेश थियो।
अनलाइन खाताहरू र व्यापार प्लेटफर्महरूमा पहुँच
थप विश्लेषणले पत्ता लगायो कि दुर्भावनापूर्ण एक्सटेन्सनले धेरै व्यापक रूपमा प्रयोग हुने अनलाइन प्लेटफर्महरूबाट जानकारी पहुँच गर्न र निकाल्न सक्छ। यी क्षमताहरूले सम्भावित क्षतिलाई व्यक्तिगत प्रयोगकर्ताहरूभन्दा बाहिर व्यवसाय र सामग्री सिर्जनाकर्ताहरूमा विस्तार गर्यो।
डेटा सङ्कलन क्षमताहरूमा समावेश थियो:
- Gmail इनबक्सहरू भित्र इमेल डेटा पढ्दै
- फेसबुक व्यवसाय प्रबन्धकबाट विज्ञापन खाता जानकारी सङ्कलन गर्दै
- YouTube च्यानलहरूबाट विश्लेषण र सञ्चालन डेटा प्राप्त गर्दै
यो कार्यक्षमताले प्रभावित ब्राउजरहरू मार्फत मार्केटिङ अभियानहरू, वित्तीय खाताहरू, वा अनलाइन मिडिया प्लेटफर्महरू व्यवस्थापन गर्ने संस्थाहरूको लागि महत्त्वपूर्ण जोखिमहरू सिर्जना गर्यो।
एक्सटेन्सन हटाउने र सुरक्षा निहितार्थहरू
दुर्भावनापूर्ण गतिविधि पत्ता लागेपछि, गुगलले क्रोम वेब स्टोरबाट गुगल लेन्स एक्सटेन्सनसँग क्विकलेन्स - सर्च स्क्रिन हटायो र असक्षम पार्यो। यस कार्यको बावजुद, यदि सफ्टवेयर अझै पनि अवस्थित छ भने पहिले एक्सटेन्सन स्थापना गर्ने प्रणालीहरू जोखिममा रहन सक्छन्।
प्रभावित प्रयोगकर्ताहरूले तुरुन्तै एक्सटेन्सन अनइन्स्टल गर्नुपर्छ र सम्भावित सम्झौताको लागि आफ्नो प्रणालीहरूको समीक्षा गर्नुपर्छ। प्रमाणपत्र परिवर्तन, वालेट सुरक्षा जाँच, र प्रणाली स्क्यानहरू दृढतापूर्वक सिफारिस गरिन्छ।
QuickLens घटनाले ब्राउजर एक्सटेन्सनसँग सम्बन्धित बढ्दो सुरक्षा जोखिमहरूलाई प्रकाश पार्छ। स्वामित्व परिवर्तन हुँदा र आधिकारिक अपडेट च्यानलहरू मार्फत दुर्भावनापूर्ण अपडेटहरू वितरण गर्दा वैध उपकरणको रूपमा सुरु हुने सफ्टवेयर पनि खतरा बन्न सक्छ। यो घटनाले सुरक्षा नियन्त्रणहरू बाइपास गर्न, संवेदनशील डेटा चोर्न र ठूलो मात्रामा सामाजिक इन्जिनियरिङ आक्रमणहरू सञ्चालन गर्न विश्वसनीय अनुप्रयोगहरूलाई कसरी हतियार बनाउन सकिन्छ भनेर देखाउँछ।
