Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware QuickLens - Zoekscherm met kwaadaardige Google Lens-extensie

QuickLens - Zoekscherm met kwaadaardige Google Lens-extensie

Tegen Mezo in Malware, Dieven
Vertalen naar:

De browserextensie QuickLens - Search Screen with Google Lens werd aanvankelijk gepromoot als een handig hulpmiddel voor het zoeken naar afbeeldingen op het scherm, het vertalen van content en het opvragen van productinformatie via visuele zoekopdrachten. Ondanks de legitieme uitstraling en functionaliteit ontwikkelde de extensie zich uiteindelijk tot een ernstige cyberbeveiligingsdreiging. Onderzoek wees uit dat de software kwaadaardige scripts bevatte die in staat waren gevoelige informatie te verzamelen en ClickFix-social engineering-aanvallen uit te voeren op geïnfecteerde systemen.

Aanvankelijk had de extensie een grote bestaande gebruikersbasis en genoot ze breed vertrouwen. In februari 2026 vond er echter een cruciale verandering plaats toen de extensie werd verkocht op een marktplaats voor browserextensies en overgenomen door een nieuwe eigenaar die opereerde onder het e-mailadres 'support@doodlebuggle.top' en de bedrijfsnaam LLC Quick Lens. Kort na de overname werd een verdacht privacybeleid geïntroduceerd, gevolgd door de release van een kwaadaardige update die naar alle gebruikers werd verspreid.

Kwaadaardige update verspreid via officiële kanalen

Omdat de extensie al door duizenden gebruikers was geïnstalleerd, verspreidde de schadelijke update zich snel. Het automatische updateproces van de Chrome Web Store leverde de besmette versie direct aan bestaande installaties zonder dat gebruikers verder hoefden te handelen.

De bijgewerkte versie vroeg uitgebreide browserrechten aan, waardoor de extensie het surfgedrag kon monitoren en websiteactiviteit kon wijzigen. Deze rechten stelden de extensie in staat om cruciale beveiligingsmaatregelen die normaal gesproken door websites worden toegepast, te omzeilen. Beveiligingsmaatregelen die bedoeld zijn om kwaadaardige scripts te blokkeren, siteframing te voorkomen en bepaalde aanvalstechnieken te neutraliseren, werden uitgeschakeld. Hierdoor werd het aanzienlijk gemakkelijker voor geïnjecteerde kwaadaardige code om op elke pagina die het slachtoffer bezocht, te worden uitgevoerd.

Continue communicatie met de command-and-control-infrastructuur

Na de installatie legde de gecompromitteerde extensie een verbinding met een externe Command-and-Control (C2)-server. De malware genereerde een unieke identificatiecode voor elke geïnfecteerde gebruiker en verzamelde omgevingsinformatie zoals geografische locatie, browsertype en besturingssysteem.

De extensie onderhield een continue communicatie met de externe server door elke vijf minuten verzoeken te versturen. Deze regelmatige check-ins stelden de aanvallers in staat om nieuwe instructies te versturen, kwaadaardige payloads bij te werken of aanvullende aanvalsacties uit te voeren op gecompromitteerde systemen.

ClickFix social engineering en valse update-meldingen

De kwaadaardige versie van QuickLens maakte ook gebruik van agressieve social engineering-technieken. Het was in staat scripts te injecteren in elke webpagina die het slachtoffer bezocht, waardoor frauduleuze Google Update-meldingen konden worden weergegeven.

Deze misleidende waarschuwingen waren ontworpen om legitieme meldingen voor software-updates na te bootsen. In werkelijkheid maakten ze deel uit van een ClickFix-achtige aanval, een techniek die gebruikers manipuleert om schadelijke commando's uit te voeren of extra malware te downloaden. Door de waarschuwingen op meerdere websites te tonen, vergrootten de aanvallers de kans dat slachtoffers de melding zouden vertrouwen en de schadelijke instructies zouden opvolgen.

Cryptocurrency-wallet en mogelijkheden voor gegevensdiefstal

Een van de gevaarlijkste functies van de gecompromitteerde extensie was het aanvallen van cryptovaluta en gevoelige gebruikersgegevens. De ingebedde kwaadaardige scripts scanden browsers op geïnstalleerde cryptowallets en probeerden vertrouwelijke informatie te bemachtigen, zoals seed phrases van wallets, authenticatiegegevens en gevoelige formuliergegevens.

De malware was specifiek gericht op de volgende cryptocurrency-walletplatforms:

  • Argon
  • Rugzak
  • Binance Chain-wallet
  • Brave Wallet
  • Coinbase-wallet
  • Exodus
  • MetaMask
  • Fantoom
  • Solflare
  • Trust Wallet
  • WalletConnect

Naast het stelen van cryptovaluta kon de extensie ook een breed scala aan gevoelige gegevens verzamelen die op websites werden ingevoerd. Dit omvatte inloggegevens, betaalinformatie en andere persoonlijke gegevens die via webformulieren werden verzonden.

Toegang tot online accounts en bedrijfsplatformen

Nader onderzoek wees uit dat de kwaadaardige extensie toegang had tot en informatie kon extraheren van verschillende veelgebruikte online platforms. Deze mogelijkheden vergrootten de potentiële schade, waardoor deze niet alleen individuele gebruikers trof, maar ook bedrijven en contentmakers.

De mogelijkheden voor gegevensverzameling omvatten:

  • E-mailgegevens lezen in Gmail-inboxen
  • Informatie over advertentieaccounts verzamelen via Facebook Business Manager.
  • Analyse- en operationele gegevens ophalen van YouTube-kanalen.

Deze functionaliteit bracht aanzienlijke risico's met zich mee voor organisaties die marketingcampagnes, financiële administratie of online mediaplatformen beheerden via de betreffende browsers.

Het verwijderen van een extensie en de gevolgen daarvan voor de beveiliging.

Na de ontdekking van de schadelijke activiteit heeft Google de QuickLens - Search Screen with Google Lens-extensie verwijderd en uitgeschakeld in de Chrome Web Store. Ondanks deze actie kunnen systemen die de extensie eerder hadden geïnstalleerd nog steeds risico lopen als de software nog steeds aanwezig is.

Gedupeerden dienen de extensie onmiddellijk te verwijderen en hun systemen te controleren op mogelijke inbreuken. Het wordt sterk aanbevolen om inloggegevens te wijzigen, de beveiliging van de digitale portemonnee te controleren en systeemscans uit te voeren.

Het QuickLens-incident benadrukt de groeiende veiligheidsrisico's die gepaard gaan met browserextensies. Zelfs software die begint als een legitiem hulpmiddel kan een bedreiging vormen wanneer het eigenaarschap verandert en kwaadaardige updates via officiële updatekanalen worden verspreid. Deze zaak laat zien hoe vertrouwde applicaties kunnen worden misbruikt om beveiligingsmaatregelen te omzeilen, gevoelige gegevens te stelen en grootschalige social engineering-aanvallen uit te voeren.

Trending

Meest bekeken

Bezig met laden...