QuickLens - Екран за претрагу са злонамерним проширењем Google Lens

Екстензија прегледача QuickLens - Search Screen with Google Lens првобитно је промовисана као практичан алат за претраживање слика на екрану, превођење садржаја и преузимање информација о производу путем визуелних упита. Упркос свом легитимном изгледу и функционалности, екстензија се на крају развила у озбиљну претњу по сајбер безбедност. Истраге су откриле да софтвер садржи злонамерне скрипте способне за прикупљање осетљивих информација и покретање ClickFix напада друштвеног инжењеринга на зараженим системима.

У почетку је екстензија имала велику постојећу базу корисника и уживала је широко поверење. Међутим, до критичне промене је дошло у фебруару 2026. године, када је екстензија продата на тржишту екстензија за прегледаче и преузео је нови власник који послује под имејл адресом „support@doodlebuggle.top“ и називом компаније LLC Quick Lens. Убрзо након аквизиције, уведена је сумњива политика приватности, након чега је уследило објављивање злонамерног ажурирања дистрибуираног свим корисницима.

Злонамерно ажурирање достављено путем званичних канала

Пошто је екстензију већ инсталирало хиљаде корисника, злонамерно ажурирање се брзо проширило. Механизам аутоматског ажурирања Chrome веб продавнице је испоручио угрожену верзију директно на постојеће инсталације без потребе за додатном интеракцијом корисника.

Ажурирана верзија је захтевала опсежне дозволе прегледача које су јој омогућавале да прати понашање прегледача и мења активности веб-сајта. Ове дозволе су омогућиле екстензији да уклони критичне безбедносне заштите које обично спроводе веб-сајтови. Заштитне мере осмишљене да блокирају злонамерне скрипте, спрече уоквиривање сајтова и ублаже одређене технике напада биле су онемогућене, што је значајно олакшало извршавање убризганог злонамерног кода на било којој страници коју посети жртва.

Константна комуникација са инфраструктуром командовања и контроле

Након инсталације, компромитована екстензија је успоставила комуникацију са удаљеним командним и контролним (C2) сервером. Злонамерни софтвер је генерисао јединствени идентификатор за сваког зараженог корисника и прикупљао информације о окружењу као што су географска локација, тип прегледача и оперативни систем.

Екстензија је одржавала сталну комуникацију са удаљеним сервером слањем захтева сваких пет минута. Ове редовне провере су омогућавале нападачима да доставе нова упутства, ажурирају злонамерне корисне податке или покрену додатне акције напада на угроженим системима.

ClickFix друштвени инжењеринг и упозорења о лажним ажурирањима

Злонамерна верзија QuickLens-а је такође имплементирала агресивне технике социјалног инжењеринга. Имала је могућност убризгавања скрипти у било коју веб страницу коју је посетила жртва, омогућавајући јој приказивање лажних обавештења о Google ажурирањима.

Ова обмањујућа упозорења су била дизајнирана да имитирају легитимне захтеве за ажурирање софтвера. У стварности, она су била део напада у стилу ClickFix-а, технике која манипулише корисницима да извршавају штетне команде или преузимају додатни малвер. Приказивањем упозорења на више веб локација, нападачи су повећали вероватноћу да ће жртве веровати захтеву и пратити злонамерна упутства.

Могућности крађе криптовалутних новчаника и података

Једна од најопаснијих функција компромитованог проширења укључивала је циљање криптовалута и осетљивих корисничких података. Уграђени злонамерни скриптови скенирали су прегледаче у потрази за инсталираним криптовалутама новчаницима и покушавали да издвоје поверљиве информације као што су фразе за семе новчаника, акредитиви за аутентификацију и осетљиви подаци из образаца.

Злонамерни софтвер је посебно циљао следеће платформе криптовалутних новчаника:

• Аргон
• Ранац
• Новчаник Binance Chain
• Храбри новчаник
• Коинбејс новчаник
• Излазак
• МетаМаска
• Фантом
• Солфларе
• Поверљиви новчаник
• WalletConnect

Поред крађе криптовалута, екстензија је била способна да прикупља широк спектар осетљивих података унетих на веб странице. То је укључивало податке за пријаву, информације о плаћању и друге личне податке који се преносе путем веб образаца.

Приступ онлајн налозима и пословним платформама

Даља анализа је открила да злонамерно проширење може приступити и издвојити информације са неколико широко коришћених онлајн платформи. Ове могућности су прошириле потенцијалну штету изван појединачних корисника на предузећа и креаторе садржаја.

Могућности прикупљања података укључивале су:

• Читање података е-поште у пријемним сандучићима Gmail-а
• Прикупљање информација о рекламном налогу од Фејсбук пословног менаџера
• Преузимање аналитичких и оперативних података са YouTube канала

Ова функционалност је створила значајне ризике за организације које управљају маркетиншким кампањама, финансијским рачунима или онлајн медијским платформама путем погођених прегледача.

Уклањање екстензија и безбедносне импликације

Након открића злонамерне активности, Google је уклонио и онемогућио екстензију QuickLens - Search Screen with Google Lens из Chrome веб продавнице. Упркос овој акцији, системи који су претходно инсталирали екстензију могу остати у опасности ако је софтвер и даље присутан.

Погођени корисници треба одмах да деинсталирају екстензију и прегледају своје системе због потенцијалног угрожавања. Топло се препоручују измене акредитива, безбедносне провере новчаника и скенирање система.

Инцидент са QuickLens-ом истиче растуће безбедносне ризике повезане са екстензијама прегледача. Чак и софтвер који почиње као легитиман алат може постати претња када се власништво промени и злонамерна ажурирања се дистрибуирају путем званичних канала за ажурирање. Овај случај показује како се поуздане апликације могу користити као оружје за заобилажење безбедносних контрола, крађу осетљивих података и спровођење великих напада друштвеног инжењеринга.