QuickLens – obrazovka vyhľadávania so škodlivým rozšírením Google Lens

Rozšírenie prehliadača QuickLens – Vyhľadávacia obrazovka s Google Lens bolo pôvodne propagované ako pohodlný nástroj na vyhľadávanie obrázkov na obrazovke, preklad obsahu a získavanie informácií o produktoch prostredníctvom vizuálnych dopytov. Napriek svojmu legitímnemu vzhľadu a funkčnosti sa rozšírenie nakoniec vyvinulo vo vážnu kybernetickú hrozbu. Vyšetrovania odhalili, že softvér obsahoval škodlivé skripty schopné zhromažďovať citlivé informácie a spúšťať útoky sociálneho inžinierstva ClickFix na infikovaných systémoch.

Rozšírenie malo spočiatku veľkú používateľskú základňu a tešilo sa veľkej dôvere. K zásadnej zmene však došlo vo februári 2026, keď bolo rozšírenie predané na trhu s rozšíreniami prehliadača a prevzal ho nový vlastník pôsobiaci pod e-mailovou adresou „support@doodlebuggle.top“ a názvom spoločnosti LLC Quick Lens. Krátko po akvizícii boli zavedené podozrivé zásady ochrany osobných údajov, po ktorých nasledovalo vydanie škodlivej aktualizácie distribuovanej všetkým používateľom.

Škodlivá aktualizácia doručená prostredníctvom oficiálnych kanálov

Keďže rozšírenie už mali nainštalované tisíce používateľov, škodlivá aktualizácia sa rýchlo rozšírila. Mechanizmus automatických aktualizácií v internetovom obchode Chrome doručil napadnutú verziu priamo do existujúcich inštalácií bez nutnosti ďalšej interakcie používateľa.

Aktualizovaná verzia vyžadovala rozsiahle povolenia prehliadača, ktoré jej umožňovali monitorovať správanie pri prehliadaní a upravovať aktivitu na webových stránkach. Tieto povolenia umožnili rozšíreniu odstrániť kritické bezpečnostné ochrany, ktoré webové stránky bežne vynucujú. Ochranné opatrenia určené na blokovanie škodlivých skriptov, zabránenie rámovaniu stránok a zmiernenie určitých útočných techník boli deaktivované, čo výrazne uľahčilo spustenie vloženého škodlivého kódu na akejkoľvek stránke navštívenej obeťou.

Neustála komunikácia s infraštruktúrou velenia a riadenia

Po inštalácii napadnuté rozšírenie nadviazalo komunikáciu so vzdialeným serverom Command-and-Control (C2). Škodlivý softvér vygeneroval jedinečný identifikátor pre každého infikovaného používateľa a zhromažďoval informácie o prostredí, ako je geografická poloha, typ prehliadača a operačný systém.

Rozšírenie udržiavalo nepretržitú komunikáciu so vzdialeným serverom odosielaním požiadaviek každých päť minút. Tieto pravidelné kontroly umožňovali útočníkom doručovať nové inštrukcie, aktualizovať škodlivé dáta alebo iniciovať ďalšie útočné akcie na napadnutých systémoch.

Sociálne inžinierstvo a upozornenia na falošné aktualizácie v ClickFixe

Škodlivá verzia QuickLens tiež implementovala agresívne techniky sociálneho inžinierstva. Dokázala vložiť skripty do každej webovej stránky navštívenej obeťou, čo jej umožňovalo zobrazovať podvodné upozornenia služby Google Update.

Tieto klamlivé upozornenia boli navrhnuté tak, aby napodobňovali legitímne výzvy na aktualizáciu softvéru. V skutočnosti boli súčasťou útoku v štýle ClickFix, čo je technika, ktorá manipuluje používateľov, aby vykonali škodlivé príkazy alebo si stiahli ďalší malvér. Zobrazovaním upozornení na viacerých webových stránkach útočníci zvýšili pravdepodobnosť, že obete budú výzve dôverovať a budú sa riadiť škodlivými pokynmi.

Kryptomenová peňaženka a možnosti krádeže údajov

Jednou z najnebezpečnejších funkcií napadnutého rozšírenia bolo zacielenie na kryptomenové aktíva a citlivé používateľské údaje. Vložené škodlivé skripty skenovali prehliadače a hľadali nainštalované kryptomenové peňaženky a pokúšali sa extrahovať dôverné informácie, ako sú frázy pre peňaženky, autentifikačné údaje a citlivé údaje z formulárov.

Malvér sa konkrétne zameral na nasledujúce platformy kryptomenových peňaženiek:

• Argón
• Batoh
• Peňaženka Binance Chain
• Odvážna peňaženka
• Peňaženka Coinbase
• Exodus
• MetaMaska
• Fantóm
• Solflare
• Dôveryhodná peňaženka
• WalletConnect

Okrem krádeže kryptomien bolo rozšírenie schopné zhromažďovať širokú škálu citlivých údajov zadaných na webových stránkach. Patrili sem prihlasovacie údaje, platobné informácie a ďalšie osobné údaje prenášané prostredníctvom webových formulárov.

Prístup k online účtom a obchodným platformám

Ďalšia analýza odhalila, že škodlivé rozšírenie mohlo pristupovať k informáciám a extrahovať ich z niekoľkých bežne používaných online platforiem. Tieto schopnosti rozšírili potenciálne škody nielen na jednotlivých používateľov, ale aj na firmy a tvorcov obsahu.

Možnosti zberu údajov zahŕňali:

• Čítanie e-mailových údajov v doručenej pošte Gmailu
• Zhromažďovanie informácií o reklamnom účte z Facebook Business Manageru
• Získavanie analytických a prevádzkových údajov z kanálov YouTube

Táto funkcionalita vytvárala značné riziká pre organizácie spravujúce marketingové kampane, finančné účty alebo online mediálne platformy prostredníctvom postihnutých prehliadačov.

Odstránenie rozšírenia a bezpečnostné dôsledky

Po odhalení škodlivej aktivity spoločnosť Google odstránila a zakázala rozšírenie QuickLens – Vyhľadávacia obrazovka s objektívom Google z Internetového obchodu Chrome. Napriek tomuto kroku môžu byť systémy, ktoré predtým nainštalovali toto rozšírenie, naďalej ohrozené, ak je softvér stále prítomný.

Dotknutí používatelia by mali okamžite odinštalovať rozšírenie a skontrolovať svoje systémy, či nedošlo k možnému napadnutiu. Dôrazne sa odporúča zmena poverení, kontrola zabezpečenia peňaženiek a skenovanie systému.

Incident s QuickLens poukazuje na rastúce bezpečnostné riziká spojené s rozšíreniami prehliadača. Dokonca aj softvér, ktorý sa začína ako legitímny nástroj, sa môže stať hrozbou, keď sa zmení vlastníctvo a škodlivé aktualizácie sa šíria prostredníctvom oficiálnych aktualizačných kanálov. Tento prípad demonštruje, ako možno dôveryhodné aplikácie zneužiť na obchádzanie bezpečnostných kontrol, krádež citlivých údajov a vykonávanie rozsiahlych útokov sociálneho inžinierstva.