Rabattoffert för flera licenser
Hotdatabas Skadlig programvara QuickLens - Sökskärm med Google Lens skadlig tillägg

QuickLens - Sökskärm med Google Lens skadlig tillägg

Med Mezo år Skadlig programvara, Stjälare
Översätt till:

Webbläsartillägget QuickLens - Search Screen with Google Lens marknadsfördes ursprungligen som ett bekvämt verktyg för att söka efter bilder på skärmen, översätta innehåll och hämta produktinformation genom visuella sökfrågor. Trots sitt legitima utseende och funktionalitet utvecklades tillägget så småningom till ett allvarligt cybersäkerhetshot. Undersökningar visade att programvaran innehöll skadliga skript som kunde samla in känslig information och utföra ClickFix social engineering-attacker på infekterade system.

Inledningsvis hade tillägget en stor befintlig användarbas och var allmänt betrodd. En kritisk förändring inträffade dock i februari 2026, då tillägget såldes på en marknadsplats för webbläsartillägg och togs över av en ny ägare som verkade under e-postadressen 'support@doodlebuggle.top' och företagsnamnet LLC Quick Lens. Kort efter förvärvet infördes en misstänkt integritetspolicy, följt av lanseringen av en skadlig uppdatering som distribuerades till alla användare.

Skadlig uppdatering levererad via officiella kanaler

Eftersom tillägget redan var installerat av tusentals användare spred sig den skadliga uppdateringen snabbt. Chrome Web Stores automatiska uppdateringsmekanism levererade den komprometterade versionen direkt till befintliga installationer utan att kräva ytterligare användarinteraktion.

Den uppdaterade versionen krävde omfattande webbläsarbehörigheter som gjorde det möjligt att övervaka webbbeteende och ändra webbplatsaktivitet. Dessa behörigheter gjorde det möjligt för tillägget att ta bort kritiska säkerhetsåtgärder som normalt tillämpas av webbplatser. Skyddsåtgärder som är utformade för att blockera skadliga skript, förhindra webbplatsinramning och mildra vissa attacktekniker inaktiverades, vilket gjorde det betydligt enklare för injicerad skadlig kod att köras på alla sidor som offret besöker.

Permanent kommunikation med kommando- och kontrollinfrastruktur

Efter installationen upprättade det komprometterade tillägget kommunikation med en fjärrserver (C2). Skadlig programvara genererade en unik identifierare för varje infekterad användare och samlade in miljöinformation såsom geografisk plats, webbläsartyp och operativsystem.

Tillägget upprätthöll kontinuerlig kommunikation med fjärrservern genom att skicka förfrågningar var femte minut. Dessa regelbundna incheckningar gjorde det möjligt för angriparna att leverera nya instruktioner, uppdatera skadliga nyttolaster eller initiera ytterligare attackåtgärder mot komprometterade system.

ClickFix social manipulation och falska uppdateringsaviseringar

Den skadliga versionen av QuickLens implementerade också aggressiva sociala ingenjörskonsttekniker. Den hade förmågan att injicera skript på vilken webbsida som helst som offret besökte, vilket gjorde det möjligt att visa bedrägliga Google Update-meddelanden.

Dessa vilseledande varningar var utformade för att efterlikna legitima uppmaningar om programuppdateringar. I verkligheten ingick de i en ClickFix-liknande attack, en teknik som manipulerar användare att utföra skadliga kommandon eller ladda ner ytterligare skadlig kod. Genom att presentera varningarna på flera webbplatser ökade angriparna sannolikheten för att offren skulle lita på uppmaningen och följa de skadliga instruktionerna.

Kryptovalutaplånbok och datastöldfunktioner

En av de farligaste funktionerna hos den komprometterade tillägget var inriktning på kryptovalutatillgångar och känslig användardata. De inbäddade skadliga skripten skannade webbläsare efter installerade kryptovalutaplånböcker och försökte extrahera konfidentiell information såsom plånboksfröfraser, autentiseringsuppgifter och känslig formulärdata.

Skadlig kod riktade sig specifikt mot följande kryptovalutaplånboksplattformar:

  • Argon
  • Ryggsäck
  • Binance Chain-plånbok
  • Modig plånbok
  • Coinbase-plånbok
  • Exodus
  • MetaMask
  • Fantom
  • Solflare
  • Trust Wallet
  • WalletConnect

Utöver kryptovalutastöld kunde tillägget samla in ett brett spektrum av känsliga uppgifter som matades in på webbplatser. Detta inkluderade inloggningsuppgifter, betalningsinformation och andra personuppgifter som överfördes via webbformulär.

Tillgång till onlinekonton och affärsplattformar

Vidare analys visade att den skadliga tillägget kunde komma åt och extrahera information från flera allmänt använda onlineplattformar. Dessa funktioner utökade den potentiella skadan bortom enskilda användare till företag och innehållsskapare.

Datainsamlingsfunktionerna inkluderade:

  • Läser e-postdata i Gmail-inkorgar
  • Samlar in information om annonskonton från Facebook Business Manager
  • Hämta analys- och operativa data från YouTube-kanaler

Denna funktion skapade betydande risker för organisationer som hanterar marknadsföringskampanjer, finansiella konton eller online-medieplattformar via berörda webbläsare.

Borttagning av tillägg och säkerhetskonsekvenser

Efter upptäckten av den skadliga aktiviteten tog Google bort och inaktiverade tillägget QuickLens – Search Screen with Google Lens från Chrome Web Store. Trots denna åtgärd kan system som tidigare installerat tillägget fortfarande vara i riskzonen om programvaran fortfarande finns.

Berörda användare bör omedelbart avinstallera tillägget och granska sina system för potentiella intrång. Ändringar av inloggningsuppgifter, säkerhetskontroller av plånboken och systemskanningar rekommenderas starkt.

QuickLens-incidenten belyser de växande säkerhetsriskerna som är förknippade med webbläsartillägg. Även programvara som från början är ett legitimt verktyg kan bli ett hot när ägarskap ändras och skadliga uppdateringar distribueras via officiella uppdateringskanaler. Detta fall visar hur betrodda applikationer kan utnyttjas som vapen för att kringgå säkerhetskontroller, stjäla känsliga data och utföra storskaliga social engineering-attacker.

Trendigt

Mest sedda

Läser in...