QuickLens - หน้าจอค้นหาพร้อมส่วนขยายที่เป็นอันตรายของ Google Lens

ส่วนขยายเบราว์เซอร์ QuickLens - Search Screen with Google Lens เดิมทีถูกโปรโมตว่าเป็นเครื่องมือที่สะดวกสำหรับการค้นหารูปภาพบนหน้าจอ การแปลเนื้อหา และการดึงข้อมูลผลิตภัณฑ์ผ่านการค้นหาด้วยภาพ แม้ว่าจะมีรูปลักษณ์และการทำงานที่ถูกต้องตามกฎหมาย แต่ส่วนขยายนี้กลับกลายเป็นภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรงในที่สุด การตรวจสอบพบว่าซอฟต์แวร์นี้มีสคริปต์ที่เป็นอันตรายซึ่งสามารถเก็บรวบรวมข้อมูลที่ละเอียดอ่อนและทำการโจมตีแบบวิศวกรรมสังคม ClickFix บนระบบที่ติดไวรัสได้

ในตอนแรก ส่วนขยายนี้มีฐานผู้ใช้จำนวนมากและได้รับความไว้วางใจอย่างกว้างขวาง อย่างไรก็ตาม การเปลี่ยนแปลงครั้งสำคัญเกิดขึ้นในเดือนกุมภาพันธ์ 2026 เมื่อส่วนขยายถูกขายในตลาดส่วนขยายเบราว์เซอร์และถูกซื้อกิจการโดยเจ้าของใหม่ที่ใช้ที่อยู่อีเมล 'support@doodlebuggle.top' และชื่อบริษัท LLC Quick Lens หลังจากนั้นไม่นาน นโยบายความเป็นส่วนตัวที่น่าสงสัยก็ถูกนำมาใช้ ตามมาด้วยการปล่อยอัปเดตที่เป็นอันตรายซึ่งแจกจ่ายให้กับผู้ใช้ทั้งหมด

การอัปเดตที่เป็นอันตรายถูกเผยแพร่ผ่านช่องทางอย่างเป็นทางการ

เนื่องจากส่วนขยายดังกล่าวถูกติดตั้งโดยผู้ใช้หลายพันคนแล้ว การอัปเดตที่เป็นอันตรายจึงแพร่กระจายอย่างรวดเร็ว กลไกการอัปเดตอัตโนมัติของ Chrome Web Store ได้ส่งเวอร์ชันที่เสียหายไปยังการติดตั้งที่มีอยู่โดยตรงโดยไม่ต้องมีการโต้ตอบเพิ่มเติมจากผู้ใช้

เวอร์ชันที่อัปเดตแล้วขอสิทธิ์การเข้าถึงเบราว์เซอร์อย่างกว้างขวาง ซึ่งอนุญาตให้ตรวจสอบพฤติกรรมการท่องเว็บและแก้ไขกิจกรรมบนเว็บไซต์ สิทธิ์เหล่านี้ทำให้ส่วนขยายสามารถลบการป้องกันความปลอดภัยที่สำคัญซึ่งโดยปกติเว็บไซต์จะบังคับใช้ การป้องกันที่ออกแบบมาเพื่อบล็อกสคริปต์ที่เป็นอันตราย ป้องกันการสร้างเฟรมเว็บไซต์ และลดผลกระทบจากเทคนิคการโจมตีบางอย่างถูกปิดใช้งาน ทำให้โค้ดที่เป็นอันตรายที่ถูกแทรกสามารถทำงานได้ง่ายขึ้นอย่างมากในทุกหน้าที่เหยื่อเข้าชม

การสื่อสารอย่างต่อเนื่องกับโครงสร้างพื้นฐานการควบคุมและสั่งการ

หลังจากติดตั้งแล้ว ส่วนขยายที่ได้รับผลกระทบจะสร้างการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ระยะไกล มัลแวร์จะสร้างตัวระบุเฉพาะสำหรับผู้ใช้ที่ติดเชื้อแต่ละราย และรวบรวมข้อมูลสภาพแวดล้อม เช่น ตำแหน่งทางภูมิศาสตร์ ประเภทเบราว์เซอร์ และระบบปฏิบัติการ

ส่วนขยายดังกล่าวรักษาการสื่อสารอย่างต่อเนื่องกับเซิร์ฟเวอร์ระยะไกลโดยการส่งคำขอทุกๆ ห้านาที การตรวจสอบสถานะเป็นประจำเหล่านี้ทำให้ผู้โจมตีสามารถส่งคำสั่งใหม่ อัปเดตเพย์โหลดที่เป็นอันตราย หรือเริ่มการโจมตีเพิ่มเติมบนระบบที่ถูกบุกรุกได้

ClickFix กลอุบายทางสังคมและการแจ้งเตือนการอัปเดตปลอม

มัลแวร์ QuickLens เวอร์ชันที่เป็นอันตรายยังใช้เทคนิควิศวกรรมสังคมเชิงรุกอีกด้วย มันมีความสามารถในการแทรกสคริปต์เข้าไปในเว็บเพจใดๆ ที่เหยื่อเข้าชม ทำให้สามารถแสดงการแจ้งเตือนการอัปเดตของ Google ที่เป็นเท็จได้

ข้อความแจ้งเตือนหลอกลวงเหล่านี้ถูกออกแบบมาเพื่อเลียนแบบข้อความแจ้งเตือนการอัปเดตซอฟต์แวร์ที่ถูกต้อง แต่ในความเป็นจริงแล้ว มันเป็นส่วนหนึ่งของการโจมตีแบบ ClickFix ซึ่งเป็นเทคนิคที่หลอกล่อผู้ใช้ให้ดำเนินการคำสั่งที่เป็นอันตรายหรือดาวน์โหลดมัลแวร์เพิ่มเติม โดยการแสดงข้อความแจ้งเตือนเหล่านี้ในหลายเว็บไซต์ ผู้โจมตีเพิ่มโอกาสที่เหยื่อจะเชื่อถือข้อความแจ้งเตือนและปฏิบัติตามคำสั่งที่เป็นอันตราย

กระเป๋าเงินคริปโตเคอร์เรนซีและความสามารถในการป้องกันการโจรกรรมข้อมูล

หนึ่งในฟังก์ชันที่อันตรายที่สุดของส่วนขยายที่ถูกโจมตีนั้นเกี่ยวข้องกับการโจมตีสินทรัพย์คริปโตเคอร์เรนซีและข้อมูลผู้ใช้ที่ละเอียดอ่อน สคริปต์ที่เป็นอันตรายที่ฝังอยู่จะสแกนเบราว์เซอร์เพื่อค้นหาแอปกระเป๋าเงินคริปโตเคอร์เรนซีที่ติดตั้งไว้ และพยายามดึงข้อมูลที่เป็นความลับ เช่น วลีรหัสกระเป๋าเงิน ข้อมูลประจำตัวการตรวจสอบสิทธิ์ และข้อมูลแบบฟอร์มที่ละเอียดอ่อน

มัลแวร์ดังกล่าวมีเป้าหมายเฉพาะเจาะจงที่แพลตฟอร์มกระเป๋าเงินดิจิทัลต่อไปนี้:

• อาร์กอน
• กระเป๋าเป้สะพายหลัง
• กระเป๋าเงิน Binance Chain
• กระเป๋าเงินเบรฟ
• กระเป๋าเงิน Coinbase
• อพยพ
• เมตามาสก์
• แฟนทอม
• โซลแฟลร์
• กระเป๋าเงินที่เชื่อถือได้
• วอลเล็ตคอนเน็กต์

นอกเหนือจากการขโมยคริปโตเคอร์เรนซีแล้ว ส่วนขยายนี้ยังสามารถเก็บรวบรวมข้อมูลสำคัญหลากหลายประเภทที่ป้อนลงในเว็บไซต์ได้ ซึ่งรวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลการชำระเงิน และข้อมูลส่วนบุคคลอื่นๆ ที่ส่งผ่านแบบฟอร์มบนเว็บ

การเข้าถึงบัญชีออนไลน์และแพลตฟอร์มธุรกิจ

จากการวิเคราะห์เพิ่มเติมพบว่าส่วนขยายที่เป็นอันตรายนี้สามารถเข้าถึงและดึงข้อมูลจากแพลตฟอร์มออนไลน์ที่ใช้กันอย่างแพร่หลายหลายแห่ง ความสามารถเหล่านี้ขยายขอบเขตความเสียหายไปไกลกว่าผู้ใช้รายบุคคล ไปยังธุรกิจและผู้สร้างเนื้อหาด้วย

ความสามารถในการเก็บรวบรวมข้อมูลประกอบด้วย:

• การอ่านข้อมูลอีเมลภายในกล่องจดหมาย Gmail
• รวบรวมข้อมูลบัญชีโฆษณาจาก Facebook Business Manager
• การดึงข้อมูลการวิเคราะห์และข้อมูลการดำเนินงานจากช่อง YouTube

ฟังก์ชันการทำงานนี้ก่อให้เกิดความเสี่ยงอย่างมากสำหรับองค์กรที่จัดการแคมเปญการตลาด บัญชีการเงิน หรือแพลตฟอร์มสื่อออนไลน์ผ่านเบราว์เซอร์ที่ได้รับผลกระทบ

การถอดส่วนขยายและผลกระทบด้านความปลอดภัย

หลังจากตรวจพบกิจกรรมที่เป็นอันตราย Google ได้ลบและปิดใช้งานส่วนขยาย QuickLens - Search Screen with Google Lens จาก Chrome Web Store แล้ว แม้จะดำเนินการดังกล่าวแล้ว ระบบที่เคยติดตั้งส่วนขยายนี้อาจยังคงมีความเสี่ยงหากซอฟต์แวร์ยังคงอยู่

ผู้ใช้งานที่ได้รับผลกระทบควรลบส่วนขยายออกทันทีและตรวจสอบระบบของตนเพื่อหาความเสี่ยงที่อาจเกิดขึ้น ขอแนะนำอย่างยิ่งให้เปลี่ยนข้อมูลประจำตัว ตรวจสอบความปลอดภัยของกระเป๋าเงินดิจิทัล และสแกนระบบ

เหตุการณ์ QuickLens เน้นย้ำถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้นซึ่งเกี่ยวข้องกับส่วนขยายของเบราว์เซอร์ แม้แต่ซอฟต์แวร์ที่เริ่มต้นจากการเป็นเครื่องมือที่ถูกต้องตามกฎหมายก็อาจกลายเป็นภัยคุกคามได้เมื่อมีการเปลี่ยนแปลงความเป็นเจ้าของและมีการเผยแพร่การอัปเดตที่เป็นอันตรายผ่านช่องทางการอัปเดตอย่างเป็นทางการ กรณีนี้แสดงให้เห็นว่าแอปพลิเคชันที่น่าเชื่อถือสามารถถูกใช้เป็นอาวุธเพื่อหลีกเลี่ยงการควบคุมความปลอดภัย ขโมยข้อมูลที่ละเอียดอ่อน และดำเนินการโจมตีทางวิศวกรรมสังคมในวงกว้างได้อย่างไร