QuickLens - Zaslon za iskanje z zlonamerno razširitvijo Google Lens
Razširitev brskalnika QuickLens – Iskalni zaslon z Google Lens je bila prvotno promovirana kot priročno orodje za iskanje slik na zaslonu, prevajanje vsebine in pridobivanje informacij o izdelkih prek vizualnih poizvedb. Kljub legitimnemu videzu in funkcionalnosti se je razširitev sčasoma razvila v resno grožnjo kibernetski varnosti. Preiskave so pokazale, da je programska oprema vsebovala zlonamerne skripte, ki so sposobne zbirati občutljive podatke in izvajati napade socialnega inženiringa ClickFix na okuženih sistemih.
Sprva je imela razširitev veliko uporabniško bazo in je bila zelo zaupanja vredna. Vendar pa se je februarja 2026 zgodila ključna sprememba, ko je bila razširitev prodana na tržnici razširitev brskalnika in jo je prevzel nov lastnik, ki je deloval pod e-poštnim naslovom »support@doodlebuggle.top« in imenom podjetja LLC Quick Lens. Kmalu po prevzemu je bila uvedena sumljiva politika zasebnosti, ki ji je sledila izdaja zlonamerne posodobitve, ki je bila razdeljena vsem uporabnikom.
Kazalo
Zlonamerna posodobitev, poslana prek uradnih kanalov
Ker je razširitev že namestilo na tisoče uporabnikov, se je zlonamerna posodobitev hitro razširila. Mehanizem samodejnega posodabljanja spletne trgovine Chrome je ogroženo različico dostavil neposredno v obstoječe namestitve, ne da bi zahteval dodatno interakcijo uporabnika.
Posodobljena različica je zahtevala obsežna dovoljenja brskalnika, ki so ji omogočala spremljanje vedenja brskanja in spreminjanje dejavnosti spletnega mesta. Ta dovoljenja so razširitvi omogočila odstranitev kritičnih varnostnih zaščit, ki jih običajno izvajajo spletna mesta. Zaščitni ukrepi, namenjeni blokiranju zlonamernih skriptov, preprečevanju uokvirjanja spletnih mest in blaženju določenih tehnik napadov, so bili onemogočeni, zaradi česar je bilo vbrizgani zlonamerni kodi bistveno lažje izvajati na kateri koli strani, ki jo obišče žrtev.
Stalna komunikacija z infrastrukturo vodenja in nadzora
Po namestitvi je ogrožena razširitev vzpostavila komunikacijo z oddaljenim strežnikom Command-and-Control (C2). Zlonamerna programska oprema je za vsakega okuženega uporabnika ustvarila edinstven identifikator in zbirala podatke o okolju, kot so geografska lokacija, vrsta brskalnika in operacijski sistem.
Razširitev je vzdrževala stalno komunikacijo z oddaljenim strežnikom tako, da je vsakih pet minut pošiljala zahteve. Te redne prijave so napadalcem omogočile, da so dostavili nova navodila, posodobili zlonamerne koristne tovore ali sprožili dodatne napadalne akcije na ogroženih sistemih.
Socialni inženiring ClickFix in opozorila o lažnih posodobitvah
Zlonamerna različica QuickLensa je uporabljala tudi agresivne tehnike socialnega inženiringa. Imela je možnost vstavljanja skriptov na katero koli spletno stran, ki jo je obiskala žrtev, kar ji je omogočilo prikazovanje goljufivih obvestil Google Update.
Ta zavajajoča opozorila so bila zasnovana tako, da posnemajo legitimne pozive za posodobitev programske opreme. V resnici so bila del napada v slogu ClickFixa, tehnike, ki manipulira uporabnike, da izvajajo škodljive ukaze ali prenašajo dodatno zlonamerno programsko opremo. Z prikazom opozoril na več spletnih mestih so napadalci povečali verjetnost, da bodo žrtve zaupale pozivu in sledile zlonamernim navodilom.
Zmogljivosti kriptovalutnih denarnic in kraje podatkov
Ena najnevarnejših funkcij ogrožene razširitve je bila ciljanje na sredstva kriptovalut in občutljive uporabniške podatke. Vgrajeni zlonamerni skripti so pregledovali brskalnike za nameščene denarnice s kriptovalutami in poskušali pridobiti zaupne informacije, kot so fraze za vnos podatkov denarnice, poverilnice za preverjanje pristnosti in občutljivi podatki obrazcev.
Zlonamerna programska oprema je bila posebej usmerjena na naslednje platforme kriptovalutnih denarnic:
- Argon
- Nahrbtnik
- Denarnica Binance Chain
- Pogumna denarnica
- Denarnica Coinbase
- Eksodus
- MetaMaska
- Fantom
- Solflare
- Zaupna denarnica
- WalletConnect
Poleg kraje kriptovalut je bila razširitev sposobna zbirati širok nabor občutljivih podatkov, vnesenih na spletna mesta. To je vključevalo prijavne podatke, podatke o plačilu in druge osebne podatke, posredovane prek spletnih obrazcev.
Dostop do spletnih računov in poslovnih platform
Nadaljnja analiza je pokazala, da lahko zlonamerna razširitev dostopa do informacij in jih izvleče iz več pogosto uporabljenih spletnih platform. Te zmožnosti so razširile potencialno škodo s posameznih uporabnikov na podjetja in ustvarjalce vsebin.
Zmogljivosti zbiranja podatkov so vključevale:
- Branje e-poštnih podatkov v nabiralnikih Gmail
- Zbiranje podatkov o oglaševalskem računu iz storitve Facebook Business Manager
- Pridobivanje analitičnih in operativnih podatkov iz YouTube kanalov
Ta funkcionalnost je ustvarila znatna tveganja za organizacije, ki upravljajo trženjske kampanje, finančne račune ali spletne medijske platforme prek prizadetih brskalnikov.
Odstranitev razširitve in varnostne posledice
Po odkritju zlonamerne dejavnosti je Google iz spletne trgovine Chrome odstranil in onemogočil razširitev QuickLens - Search Screen with Google Lens. Kljub temu ukrepu lahko sistemi, ki so predhodno namestili razširitev, ostanejo ogroženi, če je programska oprema še vedno prisotna.
Prizadeti uporabniki naj takoj odstranijo razširitev in pregledajo svoje sisteme glede morebitnih ogroženih sistemov. Zelo priporočljive so spremembe poverilnic, varnostni pregledi denarnic in pregledi sistema.
Incident QuickLens poudarja naraščajoča varnostna tveganja, povezana z razširitvami brskalnika. Tudi programska oprema, ki se začne kot legitimno orodje, lahko postane grožnja, ko se lastništvo spremeni in se zlonamerne posodobitve distribuirajo prek uradnih kanalov za posodobitve. Ta primer prikazuje, kako je mogoče zaupanja vredne aplikacije uporabiti kot orožje za obhod varnostnih kontrol, krajo občutljivih podatkov in izvajanje obsežnih napadov socialnega inženiringa.
