Скидка на мультилицензию
База данных угроз Вредоносное ПО QuickLens — поиск по экрану с вредоносным расширением...

QuickLens — поиск по экрану с вредоносным расширением Google Lens

К Mezo году в Вредоносное ПО, Вор году
Перевести на:

Расширение для браузера QuickLens - Search Screen with Google Lens изначально позиционировалось как удобный инструмент для поиска изображений на экране, перевода контента и получения информации о товарах с помощью визуальных запросов. Несмотря на привлекательный внешний вид и функциональность, расширение в конечном итоге превратилось в серьезную угрозу кибербезопасности. Расследования показали, что программное обеспечение содержало вредоносные скрипты, способные собирать конфиденциальную информацию и запускать атаки социальной инженерии ClickFix на зараженные системы.

Изначально расширение имело большую базу пользователей и пользовалось широким доверием. Однако в феврале 2026 года произошли критические изменения, когда расширение было продано на торговой площадке расширений для браузеров и приобретено новым владельцем, работающим под адресом электронной почты «support@doodlebuggle.top» и названием компании LLC Quick Lens. Вскоре после приобретения была введена подозрительная политика конфиденциальности, за которой последовал выпуск вредоносного обновления, распространенного среди всех пользователей.

Вредоносное обновление было распространено через официальные каналы.

Поскольку расширение уже было установлено тысячами пользователей, вредоносное обновление быстро распространилось. Механизм автоматического обновления Chrome Web Store доставлял скомпрометированную версию непосредственно на существующие установки без необходимости дополнительного взаимодействия с пользователем.

Обновленная версия запрашивала у браузера расширенные разрешения, позволяющие отслеживать поведение пользователей и изменять активность на веб-сайтах. Эти разрешения позволили расширению отключить критически важные средства защиты, обычно применяемые веб-сайтами. Были отключены средства защиты, предназначенные для блокировки вредоносных скриптов, предотвращения встраивания сайтов и смягчения последствий определенных методов атак, что значительно упростило внедрение вредоносного кода на любой странице, посещаемой жертвой.

Постоянная связь с инфраструктурой управления и контроля

После установки скомпрометированное расширение устанавливало связь с удалённым сервером управления и контроля (C2). Вредоносная программа генерировала уникальный идентификатор для каждого заражённого пользователя и собирала информацию об окружающей среде, такую как географическое местоположение, тип браузера и операционная система.

Расширение поддерживало постоянную связь с удалённым сервером, отправляя запросы каждые пять минут. Эти регулярные проверки позволяли злоумышленникам передавать новые инструкции, обновлять вредоносные программы или инициировать дополнительные атаки на скомпрометированные системы.

ClickFix устраняет проблемы социальной инженерии и ложных оповещений об обновлениях.

Вредоносная версия QuickLens также использовала агрессивные методы социальной инженерии. Она имела возможность внедрять скрипты на любую веб-страницу, посещаемую жертвой, что позволяло ей отображать мошеннические уведомления об обновлениях Google.

Эти обманчивые предупреждения были разработаны таким образом, чтобы имитировать законные запросы на обновление программного обеспечения. В действительности они являлись частью атаки в стиле ClickFix, метода, который манипулирует пользователями, заставляя их выполнять вредоносные команды или загружать дополнительное вредоносное ПО. Показывая эти предупреждения на нескольких веб-сайтах, злоумышленники повышали вероятность того, что жертвы поверят запросу и последуют вредоносным инструкциям.

Возможности криптовалютного кошелька и защиты от кражи данных.

Одна из самых опасных функций скомпрометированного расширения заключалась в краже криптовалютных активов и конфиденциальных данных пользователей. Встроенные вредоносные скрипты сканировали браузеры на наличие установленных криптовалютных кошельков и пытались извлечь конфиденциальную информацию, такую как сид-фразы кошельков, учетные данные для аутентификации и конфиденциальные данные форм.

Вредоносная программа целенаправленно атаковала следующие платформы для криптовалютных кошельков:

  • Аргон
  • Рюкзак
  • Кошелек Binance Chain
  • Кошелек Brave
  • Кошелек Coinbase
  • Исход
  • МетаМаск
  • Фантом
  • Солфлар
  • Кошелек доверия
  • WalletConnect

Помимо кражи криптовалюты, расширение было способно собирать широкий спектр конфиденциальных данных, вводимых на веб-сайтах. Это включало учетные данные для входа, платежную информацию и другие персональные данные, передаваемые через веб-формы.

Доступ к онлайн-аккаунтам и бизнес-платформам.

Дальнейший анализ показал, что вредоносное расширение может получать доступ к информации с нескольких широко используемых онлайн-платформ и извлекать её оттуда. Эти возможности расширили потенциальный ущерб за пределы отдельных пользователей, затронув предприятия и создателей контента.

Возможности сбора данных включали:

  • Чтение данных электронной почты в почтовых ящиках Gmail
  • Сбор информации об рекламном аккаунте из Facebook Business Manager.
  • Получение аналитических и операционных данных с каналов YouTube.

Данная функция создавала значительные риски для организаций, управляющих маркетинговыми кампаниями, финансовыми счетами или онлайн-медиаплатформами через затронутые браузеры.

Удаление расширения и последствия для безопасности

После обнаружения вредоносной активности Google удалила и заблокировала расширение QuickLens - Search Screen with Google Lens из Chrome Web Store. Несмотря на это, системы, на которых ранее было установлено расширение, могут оставаться под угрозой, если программное обеспечение всё ещё присутствует.

Пострадавшим пользователям следует немедленно удалить расширение и проверить свои системы на предмет возможного взлома. Настоятельно рекомендуется изменить учетные данные, проверить безопасность кошелька и выполнить сканирование системы.

Инцидент с QuickLens подчеркивает растущие риски безопасности, связанные с расширениями для браузеров. Даже программное обеспечение, изначально являющееся легитимным инструментом, может стать угрозой, когда происходит смена владельца и вредоносные обновления распространяются через официальные каналы обновления. Этот случай демонстрирует, как доверенные приложения могут быть использованы для обхода средств защиты, кражи конфиденциальных данных и проведения масштабных атак с применением методов социальной инженерии.

В тренде

Critical-service.cc

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Посещение интернета требует постоянной бдительности. Киберпреступники постоянно разрабатывают обманные методы, чтобы заставить пользователей поставить под угрозу свою безопасность. В частности,...

Наиболее просматриваемые

Загрузка...