Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware QuickLens - Ekrani i Kërkimit me Zgjatimin Keqdashës të...

QuickLens - Ekrani i Kërkimit me Zgjatimin Keqdashës të Lens Google

Nga MezoMalware, Vjedhësit
Përkthe në:

Shtesa e shfletuesit QuickLens - Search Screen me Google Lens u promovua fillimisht si një mjet i përshtatshëm për kërkimin e imazheve në ekran, përkthimin e përmbajtjes dhe marrjen e informacionit të produktit përmes pyetjeve vizuale. Pavarësisht pamjes dhe funksionalitetit të saj legjitim, shtesa përfundimisht evoluoi në një kërcënim serioz për sigurinë kibernetike. Hetimet zbuluan se softueri përmbante skripte keqdashëse të afta për të mbledhur informacione të ndjeshme dhe për të nisur sulme të inxhinierisë sociale ClickFix në sistemet e infektuara.

Fillimisht, zgjerimi kishte një bazë të madhe përdoruesish ekzistues dhe ishte i besuar gjerësisht. Megjithatë, një ndryshim kritik ndodhi në shkurt të vitit 2026, kur zgjerimi u shit në një treg zgjerimesh për shfletuesit dhe u mor në pronësi nga një pronar i ri që vepronte nën adresën e email-it 'support@doodlebuggle.top' dhe emrin e kompanisë LLC Quick Lens. Menjëherë pas blerjes, u prezantua një politikë e dyshimtë privatësie, e ndjekur nga publikimi i një përditësimi keqdashës të shpërndarë te të gjithë përdoruesit.

Përditësim keqdashës i dorëzuar përmes kanaleve zyrtare

Meqenëse zgjerimi ishte instaluar tashmë nga mijëra përdorues, përditësimi keqdashës u përhap me shpejtësi. Mekanizmi automatik i përditësimit të Chrome Web Store e dërgoi versionin e kompromentuar direkt në instalimet ekzistuese pa kërkuar ndërveprim shtesë të përdoruesit.

Versioni i përditësuar kërkoi leje të gjera për shfletuesin që i lejonin të monitoronte sjelljen e shfletimit dhe të modifikonte aktivitetin e faqes së internetit. Këto leje i mundësuan zgjerimit të hiqte mbrojtjet kritike të sigurisë që normalisht zbatohen nga faqet e internetit. Masat mbrojtëse të dizajnuara për të bllokuar skriptet keqdashëse, për të parandaluar krijimin e faqeve të internetit dhe për të zbutur teknika të caktuara sulmi u çaktivizuan, duke e bërë shumë më të lehtë ekzekutimin e kodit keqdashës të injektuar në çdo faqe të vizituar nga viktima.

Komunikim i vazhdueshëm me infrastrukturën e komandës dhe kontrollit

Pas instalimit, zgjerimi i kompromentuar krijoi komunikim me një server të largët Command-and-Control (C2). Malware gjeneroi një identifikues unik për secilin përdorues të infektuar dhe mblodhi informacione mjedisore si vendndodhja gjeografike, lloji i shfletuesit dhe sistemi operativ.

Zgjerimi mbante komunikim të vazhdueshëm me serverin në distancë duke dërguar kërkesa çdo pesë minuta. Këto kontrolle të rregullta u lejonin sulmuesve të jepnin udhëzime të reja, të përditësonin ngarkesat keqdashëse ose të fillonin veprime shtesë sulmi në sistemet e kompromentuara.

Inxhinieria Sociale e ClickFix dhe Alarmet e Përditësimit të Rreme

Versioni keqdashës i QuickLens zbatoi gjithashtu teknika agresive të inxhinierisë sociale. Ai kishte aftësinë të injektonte skripte në çdo faqe interneti të vizituar nga viktima, duke i mundësuar asaj të shfaqte njoftime mashtruese të Google Update.

Këto alarme mashtruese u hartuan për të imituar kërkesat legjitime për përditësimin e softuerit. Në realitet, ato përbënin pjesë të një sulmi në stilin ClickFix, një teknikë që manipulon përdoruesit që të ekzekutojnë komanda të dëmshme ose të shkarkojnë programe të tjera keqdashëse. Duke i paraqitur alarmet në shumë faqe interneti, sulmuesit rritën gjasat që viktimat t'i besonin kërkesës dhe të ndiqnin udhëzimet keqdashëse.

Portofoli i Kriptomonedhave dhe Aftësitë e Vjedhjes së të Dhënave

Një nga funksionet më të rrezikshme të zgjerimit të kompromentuar përfshinte shënjestrimin e aseteve të kriptomonedhave dhe të dhënave të ndjeshme të përdoruesve. Skriptet e ngulitura keqdashëse skanuan shfletuesit për portofolet e instaluara të kriptomonedhave dhe u përpoqën të nxirrnin informacione konfidenciale siç janë frazat fillestare të portofolit, kredencialet e vërtetimit dhe të dhënat e ndjeshme të formularit.

Malware-i synonte posaçërisht platformat e mëposhtme të portofoleve të kriptomonedhave:

  • Argoni
  • Çantë shpine
  • Portofolin e Zinxhirit Binance
  • Portofol i guximshëm
  • Portofoli Coinbase
  • Eksodi
  • MetaMask
  • Fantazmë
  • Solflare
  • Portofoli i Besimit
  • WalletConnect

Përtej vjedhjes së kriptomonedhave, zgjerimi ishte i aftë të mblidhte një gamë të gjerë të dhënash të ndjeshme të futura në faqet e internetit. Kjo përfshinte kredencialet e hyrjes, informacionin e pagesës dhe të dhëna të tjera personale të transmetuara përmes formularëve të internetit.

Qasje në Llogaritë Online dhe Platformat e Biznesit

Analiza të mëtejshme zbuluan se zgjerimi keqdashës mund të hynte dhe të nxirrte informacion nga disa platforma online të përdorura gjerësisht. Këto aftësi e zgjeruan dëmin e mundshëm përtej përdoruesve individualë tek bizneset dhe krijuesit e përmbajtjes.

Aftësitë e mbledhjes së të dhënave përfshinin:

  • Leximi i të dhënave të email-it brenda kutive hyrëse të Gmail-it
  • Mbledhja e informacionit të llogarisë reklamuese nga Facebook Business Manager
  • Duke marrë të dhëna analitike dhe operative nga kanalet e YouTube

Ky funksionalitet krijoi rreziqe të konsiderueshme për organizatat që menaxhojnë fushatat e marketingut, llogaritë financiare ose platformat e mediave online përmes shfletuesve të prekur.

Heqja e Zgjerimit dhe Implikimet e Sigurisë

Pas zbulimit të aktivitetit keqdashës, Google hoqi dhe çaktivizoi shtesën QuickLens - Search Screen with Google Lens nga Chrome Web Store. Pavarësisht këtij veprimi, sistemet që e kanë instaluar më parë shtesën mund të mbeten në rrezik nëse softueri është ende i pranishëm.

Përdoruesit e prekur duhet ta çinstalojnë menjëherë shtesën dhe të rishikojnë sistemet e tyre për kompromentim të mundshëm. Rekomandohen fuqimisht ndryshimet e kredencialeve, kontrollet e sigurisë së portofolit dhe skanimet e sistemit.

Incidenti i QuickLens nxjerr në pah rreziqet në rritje të sigurisë që lidhen me zgjerimet e shfletuesit. Edhe softuerët që fillojnë si një mjet legjitim mund të bëhen kërcënim kur pronësia ndryshon dhe përditësimet keqdashëse shpërndahen përmes kanaleve zyrtare të përditësimit. Ky rast tregon se si aplikacionet e besuara mund të përdoren si armë për të anashkaluar kontrollet e sigurisë, për të vjedhur të dhëna të ndjeshme dhe për të kryer sulme të inxhinierisë sociale në shkallë të gjerë.

Në trend

Më e shikuara

Po ngarkohet...