QuickLens - Screen ng Paghahanap gamit ang Malicious Extension ng Google Lens

Ang extension ng browser na QuickLens - Search Screen gamit ang Google Lens ay orihinal na itinaguyod bilang isang maginhawang tool para sa paghahanap ng mga larawan sa screen, pagsasalin ng nilalaman, at pagkuha ng impormasyon ng produkto sa pamamagitan ng mga visual query. Sa kabila ng lehitimong hitsura at functionality nito, ang extension ay kalaunan ay naging isang seryosong banta sa cybersecurity. Isiniwalat ng mga imbestigasyon na ang software ay naglalaman ng mga malisyosong script na may kakayahang mangolekta ng sensitibong impormasyon at maglunsad ng mga pag-atake ng social engineering ng ClickFix sa mga nahawaang system.

Sa simula, ang extension ay mayroong malaking umiiral na base ng mga gumagamit at malawak na pinagkakatiwalaan. Gayunpaman, isang mahalagang pagbabago ang naganap noong Pebrero 2026, nang ang extension ay ibenta sa isang marketplace ng browser extension at kunin ng isang bagong may-ari na nagpapatakbo sa ilalim ng email address na 'support@doodlebuggle.top' at ang pangalan ng kumpanya na LLC Quick Lens. Di-nagtagal pagkatapos ng pagbili, isang kahina-hinalang patakaran sa privacy ang ipinakilala, na sinundan ng paglabas ng isang malisyosong update na ipinamahagi sa lahat ng mga gumagamit.

Nakakahamak na Update na Inihatid sa Pamamagitan ng mga Opisyal na Channel

Dahil naka-install na ang extension ng libu-libong user, mabilis na kumalat ang malisyosong update. Direktang naihatid ng mekanismo ng awtomatikong pag-update ng Chrome Web Store ang nakompromisong bersyon sa mga umiiral nang instalasyon nang hindi nangangailangan ng karagdagang pakikipag-ugnayan ng user.

Ang na-update na bersyon ay humiling ng malawak na mga pahintulot sa browser na nagpapahintulot dito na subaybayan ang pag-browse at baguhin ang aktibidad ng website. Ang mga pahintulot na ito ay nagbigay-daan sa extension na alisin ang mga kritikal na proteksyon sa seguridad na karaniwang ipinapatupad ng mga website. Ang mga pananggalang na idinisenyo upang harangan ang mga malisyosong script, maiwasan ang pag-frame ng site, at pagaanin ang ilang mga diskarte sa pag-atake ay hindi pinagana, na ginagawang mas madali para sa iniksyon na malisyosong code na isagawa sa anumang pahinang binibisita ng biktima.

Patuloy na Komunikasyon sa Imprastraktura ng Command-and-Control

Pagkatapos ng pag-install, ang nakompromisong extension ay nakapagtatag ng komunikasyon sa isang remote Command-and-Control (C2) server. Ang malware ay bumuo ng isang natatanging identifier para sa bawat nahawaang user at nangolekta ng impormasyon sa kapaligiran tulad ng lokasyong heograpikal, uri ng browser, at operating system.

Pinanatili ng extension ang patuloy na komunikasyon sa remote server sa pamamagitan ng pagpapadala ng mga request kada limang minuto. Ang mga regular na check-in na ito ay nagbigay-daan sa mga attacker na maghatid ng mga bagong instruksyon, mag-update ng mga malisyosong payload, o magsimula ng mga karagdagang aksyon sa pag-atake sa mga nakompromisong system.

ClickFix Social Engineering at Mga Alerto sa Pekeng Update

Ang malisyosong bersyon ng QuickLens ay nagpatupad din ng agresibong mga pamamaraan ng social engineering. May kakayahan itong magpasok ng mga script sa anumang webpage na binibisita ng biktima, na nagbigay-daan dito upang magpakita ng mga mapanlinlang na notification ng Google Update.

Ang mga mapanlinlang na alertong ito ay dinisenyo upang gayahin ang mga lehitimong prompt ng pag-update ng software. Sa katotohanan, bahagi ang mga ito ng isang ClickFix-style na pag-atake, isang pamamaraan na minamanipula ang mga user upang magsagawa ng mga mapaminsalang utos o mag-download ng karagdagang malware. Sa pamamagitan ng pagpapakita ng mga alerto sa maraming website, pinataas ng mga umaatake ang posibilidad na magtiwala ang mga biktima sa prompt at susundin ang mga malisyosong tagubilin.

Mga Kakayahan sa Cryptocurrency Wallet at Pagnanakaw ng Data

Isa sa mga pinakamapanganib na tungkulin ng nakompromisong extension ay ang pag-target sa mga cryptocurrency asset at sensitibong data ng user. Ini-scan ng mga naka-embed na malisyosong script ang mga browser para sa mga naka-install na cryptocurrency wallet at sinubukang kumuha ng kumpidensyal na impormasyon tulad ng mga wallet seed phrase, authentication credentials, at sensitibong data ng form.

Partikular na tinarget ng malware ang mga sumusunod na platform ng cryptocurrency wallet:

• Argon
• Backpack
• Binance Chain Wallet
• Matapang na Wallet
• Coinbase Wallet
• Exodo
• MetaMask
• Multo
• Solflare
• Trust Wallet
• WalletConnect

Bukod sa pagnanakaw ng cryptocurrency, kayang makuha ng extension ang iba't ibang sensitibong datos na ipinasok sa mga website. Kabilang dito ang mga login credential, impormasyon sa pagbabayad, at iba pang personal na datos na ipinapadala sa pamamagitan ng mga web form.

Pag-access sa mga Online Account at mga Plataporma ng Negosyo

Ipinakita ng karagdagang pagsusuri na ang malisyosong extension ay maaaring mag-access at kumuha ng impormasyon mula sa ilang malawakang ginagamit na online platform. Pinalawak ng mga kakayahang ito ang potensyal na pinsala na higit pa sa mga indibidwal na gumagamit, patungo sa mga negosyo at tagalikha ng nilalaman.

Kasama sa mga kakayahan sa pagkolekta ng datos ang:

• Pagbabasa ng data ng email sa loob ng mga inbox ng Gmail
• Pangangalap ng impormasyon sa account sa advertising mula sa Facebook Business Manager
• Pagkuha ng analytics at operational data mula sa mga channel sa YouTube

Ang functionality na ito ay lumikha ng malalaking panganib para sa mga organisasyong namamahala ng mga kampanya sa marketing, mga financial account, o mga online media platform sa pamamagitan ng mga apektadong browser.

Pag-alis ng Extension at mga Implikasyon sa Seguridad

Kasunod ng pagkakatuklas sa malisyosong aktibidad, inalis at hindi pinagana ng Google ang QuickLens - Search Screen with Google Lens extension mula sa Chrome Web Store. Sa kabila ng aksyong ito, maaaring manatiling nasa panganib ang mga system na dati nang nag-install ng extension kung naroon pa rin ang software.

Dapat agad na i-uninstall ng mga apektadong user ang extension at suriin ang kanilang mga system para sa posibleng pagkalat. Lubos na inirerekomenda ang mga pagbabago sa kredensyal, pagsusuri sa seguridad ng wallet, at pag-scan ng system.

Itinatampok ng insidente sa QuickLens ang lumalaking panganib sa seguridad na nauugnay sa mga extension ng browser. Kahit ang software na nagsisimula bilang isang lehitimong tool ay maaaring maging isang banta kapag nagbago ang pagmamay-ari at ipinamamahagi ang mga malisyosong update sa pamamagitan ng mga opisyal na channel ng update. Ipinapakita ng kasong ito kung paano maaaring gamiting sandata ang mga pinagkakatiwalaang application upang malampasan ang mga kontrol sa seguridad, magnakaw ng sensitibong data, at magsagawa ng malawakang pag-atake sa social engineering.