QuickLens – ekran wyszukiwania z złośliwym rozszerzeniem Google Lens

Rozszerzenie przeglądarki QuickLens – Search Screen with Google Lens było pierwotnie promowane jako wygodne narzędzie do wyszukiwania obrazów na ekranie, tłumaczenia treści i uzyskiwania informacji o produktach za pomocą zapytań wizualnych. Pomimo legalnego wyglądu i funkcjonalności, rozszerzenie ostatecznie przekształciło się w poważne zagrożenie cyberbezpieczeństwa. Dochodzenia wykazały, że oprogramowanie zawierało złośliwe skrypty zdolne do gromadzenia poufnych informacji i uruchamiania ataków socjotechnicznych ClickFix na zainfekowane systemy.

Początkowo rozszerzenie miało dużą bazę użytkowników i cieszyło się powszechnym zaufaniem. Jednak w lutym 2026 roku nastąpiła istotna zmiana, kiedy rozszerzenie zostało sprzedane na platformie z rozszerzeniami do przeglądarek i przejęte przez nowego właściciela, działającego pod adresem e-mail „support@doodlebuggle.top” i nazwą firmy LLC Quick Lens. Wkrótce po przejęciu wprowadzono podejrzaną politykę prywatności, a następnie opublikowano złośliwą aktualizację, która została rozesłana do wszystkich użytkowników.

Złośliwa aktualizacja dostarczona oficjalnymi kanałami

Ponieważ rozszerzenie było już zainstalowane przez tysiące użytkowników, złośliwa aktualizacja rozprzestrzeniła się szybko. Mechanizm automatycznej aktualizacji sklepu Chrome Web Store dostarczył zainfekowaną wersję bezpośrednio do istniejących instalacji, bez konieczności dodatkowej interakcji użytkownika.

Zaktualizowana wersja wymagała rozległych uprawnień przeglądarki, które pozwalały jej monitorować zachowania użytkowników i modyfikować aktywność na stronie internetowej. Uprawnienia te umożliwiły rozszerzeniu usunięcie krytycznych zabezpieczeń, które normalnie obowiązują na stronach internetowych. Zabezpieczenia mające na celu blokowanie złośliwych skryptów, zapobieganie tworzeniu ramek witryn i łagodzenie niektórych technik ataków zostały wyłączone, co znacznie ułatwiło wykonanie wstrzykniętego złośliwego kodu na dowolnej stronie odwiedzanej przez ofiarę.

Trwała komunikacja z infrastrukturą dowodzenia i kontroli

Po instalacji zainfekowane rozszerzenie nawiązało komunikację ze zdalnym serwerem Command-and-Control (C2). Szkodliwe oprogramowanie generowało unikatowy identyfikator dla każdego zainfekowanego użytkownika i zbierało informacje o środowisku, takie jak lokalizacja geograficzna, typ przeglądarki i system operacyjny.

Rozszerzenie utrzymywało stałą komunikację ze zdalnym serwerem, wysyłając żądania co pięć minut. Te regularne meldunki umożliwiały atakującym dostarczanie nowych instrukcji, aktualizowanie złośliwych ładunków lub inicjowanie dodatkowych działań w zainfekowanych systemach.

Inżynieria społeczna i fałszywe alerty aktualizacji ClickFix

Złośliwa wersja QuickLens wykorzystywała również agresywne techniki socjotechniczne. Potrafiła wstrzykiwać skrypty na dowolną stronę internetową odwiedzaną przez ofiarę, umożliwiając wyświetlanie fałszywych powiadomień o aktualizacjach Google.

Te zwodnicze alerty miały naśladować legalne monity o aktualizację oprogramowania. W rzeczywistości były częścią ataku w stylu ClickFix, techniki polegającej na manipulowaniu użytkownikami w celu wykonania szkodliwych poleceń lub pobrania dodatkowego złośliwego oprogramowania. Wyświetlając alerty na wielu stronach internetowych, atakujący zwiększali prawdopodobieństwo, że ofiary zaufają komunikatowi i zastosują się do złośliwych instrukcji.

Portfel kryptowalutowy i możliwości kradzieży danych

Jedną z najniebezpieczniejszych funkcji zainfekowanego rozszerzenia było atakowanie aktywów kryptowalutowych i poufnych danych użytkowników. Osadzone złośliwe skrypty skanowały przeglądarki w poszukiwaniu zainstalowanych portfeli kryptowalutowych i próbowały wyłudzić poufne informacje, takie jak frazy początkowe portfela, dane uwierzytelniające i poufne dane formularzy.

Szkodliwe oprogramowanie celowo atakowało następujące platformy portfeli kryptowalutowych:

• Argon
• Plecak
• Portfel Binance Chain
• Odważny portfel
• Portfel Coinbase
• Exodus
• MetaMaska
• Fantom
• Solflare
• Portfel zaufania
• WalletConnect

Oprócz kradzieży kryptowalut, rozszerzenie było w stanie gromadzić szeroki zakres poufnych danych wprowadzanych na stronach internetowych. Obejmowały one dane logowania, dane dotyczące płatności i inne dane osobowe przesyłane za pośrednictwem formularzy internetowych.

Dostęp do kont internetowych i platform biznesowych

Dalsza analiza ujawniła, że złośliwe rozszerzenie potrafiło uzyskać dostęp do kilku powszechnie używanych platform internetowych i wydobyć z nich informacje. Możliwości te rozszerzyły potencjalne szkody poza indywidualnych użytkowników, na firmy i twórców treści.

Możliwości gromadzenia danych obejmowały:

• Odczytywanie danych e-mail w skrzynkach odbiorczych Gmaila
• Zbieranie informacji o koncie reklamowym z Menedżera firmy na Facebooku
• Pobieranie analiz i danych operacyjnych z kanałów YouTube

Funkcjonalność ta stwarzała poważne ryzyko dla organizacji zarządzających kampaniami marketingowymi, kontami finansowymi lub platformami mediów online za pośrednictwem zagrożonych przeglądarek.

Usuwanie rozszerzeń i implikacje bezpieczeństwa

Po wykryciu szkodliwej aktywności Google usunęło i wyłączyło rozszerzenie QuickLens – Search Screen with Google Lens ze sklepu Chrome Web Store. Pomimo tego działania, systemy, w których wcześniej zainstalowano rozszerzenie, mogą pozostać zagrożone, jeśli oprogramowanie nadal jest obecne.

Użytkownicy, których dotyczy problem, powinni natychmiast odinstalować rozszerzenie i sprawdzić swoje systemy pod kątem potencjalnego zagrożenia. Zdecydowanie zalecamy zmianę danych uwierzytelniających, sprawdzenie bezpieczeństwa portfela i przeskanowanie systemu.

Incydent z QuickLens uwypukla rosnące zagrożenia bezpieczeństwa związane z rozszerzeniami przeglądarek. Nawet oprogramowanie, które początkowo jest legalnym narzędziem, może stać się zagrożeniem, gdy zmienia się właściciel i złośliwe aktualizacje są rozpowszechniane za pośrednictwem oficjalnych kanałów aktualizacji. Ten przypadek pokazuje, jak zaufane aplikacje mogą być wykorzystywane do omijania zabezpieczeń, kradzieży poufnych danych i przeprowadzania ataków socjotechnicznych na dużą skalę.