QuickLens - Google Lens Kötü Amaçlı Eklentisi İçeren Arama Ekranı

QuickLens - Search Screen with Google Lens adlı tarayıcı eklentisi, başlangıçta ekrandaki görüntüleri aramak, içeriği çevirmek ve görsel sorgular aracılığıyla ürün bilgilerini almak için kullanışlı bir araç olarak tanıtılmıştı. Meşru görünümüne ve işlevselliğine rağmen, eklenti nihayetinde ciddi bir siber güvenlik tehdidine dönüştü. Soruşturmalar, yazılımın hassas bilgileri toplayabilen ve enfekte sistemlerde ClickFix sosyal mühendislik saldırıları başlatabilen kötü amaçlı komut dosyaları içerdiğini ortaya çıkardı.

Başlangıçta, eklentinin geniş bir kullanıcı tabanı vardı ve yaygın olarak güveniliyordu. Ancak, Şubat 2026'da eklenti bir tarayıcı eklentisi pazarında satıldığında ve 'support@doodlebuggle.top' e-posta adresi ve LLC Quick Lens şirket adı altında faaliyet gösteren yeni bir sahibi tarafından devralındığında kritik bir değişiklik meydana geldi. Satın almanın hemen ardından şüpheli bir gizlilik politikası uygulamaya konuldu ve ardından tüm kullanıcılara dağıtılan kötü amaçlı bir güncelleme yayınlandı.

Resmi Kanallar Aracılığıyla Kötü Amaçlı Güncelleme Yayınlandı

Uzantı zaten binlerce kullanıcı tarafından yüklenmiş olduğundan, zararlı güncelleme hızla yayıldı. Chrome Web Mağazası'nın otomatik güncelleme mekanizması, ek kullanıcı etkileşimi gerektirmeden, tehlikeli sürümü doğrudan mevcut kurulumlara iletti.

Güncellenen sürüm, tarama davranışını izlemesine ve web sitesi etkinliğini değiştirmesine olanak tanıyan kapsamlı tarayıcı izinleri talep ediyordu. Bu izinler, eklentinin normalde web siteleri tarafından uygulanan kritik güvenlik korumalarını kaldırmasına olanak sağladı. Kötü amaçlı komut dosyalarını engellemek, site çerçevelemesini önlemek ve belirli saldırı tekniklerini hafifletmek için tasarlanmış güvenlik önlemleri devre dışı bırakıldı; bu da kurbanın ziyaret ettiği herhangi bir sayfada enjekte edilen kötü amaçlı kodun çalışmasını önemli ölçüde kolaylaştırdı.

Komuta ve Kontrol Altyapısıyla Sürekli İletişim

Kurulumdan sonra, tehlikeye atılmış eklenti uzaktaki bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurdu. Kötü amaçlı yazılım, enfekte olmuş her kullanıcı için benzersiz bir tanımlayıcı oluşturdu ve coğrafi konum, tarayıcı türü ve işletim sistemi gibi çevresel bilgileri topladı.

Bu eklenti, her beş dakikada bir istek göndererek uzak sunucuyla sürekli iletişim halinde kaldı. Bu düzenli bağlantılar, saldırganların yeni talimatlar iletmesine, kötü amaçlı yazılımları güncellemesine veya ele geçirilen sistemlerde ek saldırı eylemleri başlatmasına olanak sağladı.

ClickFix Sosyal Mühendislik ve Sahte Güncelleme Uyarıları

QuickLens'in kötü amaçlı sürümü ayrıca agresif sosyal mühendislik teknikleri de uyguluyordu. Kurbanın ziyaret ettiği herhangi bir web sayfasına komut dosyaları enjekte edebilme ve böylece sahte Google Güncelleme bildirimleri gösterebilme özelliğine sahipti.

Bu aldatıcı uyarılar, meşru yazılım güncelleme bildirimlerini taklit etmek üzere tasarlanmıştı. Gerçekte ise, kullanıcıları zararlı komutları çalıştırmaya veya ek kötü amaçlı yazılım indirmeye yönlendiren ClickFix tarzı bir saldırının parçasıydılar. Saldırganlar, uyarıları birden fazla web sitesinde sunarak, kurbanların uyarıya güvenme ve kötü amaçlı talimatları izleme olasılığını artırdılar.

Kripto Para Cüzdanı ve Veri Hırsızlığı Önleme Özellikleri

Ele geçirilen eklentinin en tehlikeli işlevlerinden biri, kripto para varlıklarını ve hassas kullanıcı verilerini hedef almasıydı. Gömülü kötü amaçlı komut dosyaları, tarayıcıları tarayarak yüklü kripto para cüzdanlarını tespit etmeye ve cüzdan kurtarma ifadeleri, kimlik doğrulama bilgileri ve hassas form verileri gibi gizli bilgileri çıkarmaya çalıştı.

Söz konusu kötü amaçlı yazılım özellikle aşağıdaki kripto para cüzdan platformlarını hedef almıştır:

• Argon
• Sırt çantası
• Binance Chain Cüzdanı
• Brave Cüzdan
• Coinbase Cüzdanı
• Çıkış
• MetaMask
• Hayalet
• Solflare
• Trust Wallet
• WalletConnect

Kripto para hırsızlığının ötesinde, bu eklenti web sitelerine girilen çok çeşitli hassas verileri de toplayabiliyordu. Buna giriş bilgileri, ödeme bilgileri ve web formları aracılığıyla iletilen diğer kişisel veriler dahildi.

Çevrimiçi Hesaplara ve İş Platformlarına Erişim

Yapılan detaylı analizler, kötü amaçlı eklentinin yaygın olarak kullanılan çeşitli çevrimiçi platformlardan bilgiye erişebildiğini ve bu bilgileri çıkarabildiğini ortaya koydu. Bu yetenekler, potansiyel zararı bireysel kullanıcıların ötesine, işletmelere ve içerik oluşturuculara kadar genişletti.

Veri toplama yetenekleri şunları içeriyordu:

• Gmail gelen kutularındaki e-posta verilerini okuma
• Facebook Business Manager'dan reklam hesabı bilgilerini toplama
• YouTube kanallarından analitik ve operasyonel verilerin alınması

Bu işlevsellik, etkilenen tarayıcılar aracılığıyla pazarlama kampanyalarını, finansal hesapları veya çevrimiçi medya platformlarını yöneten kuruluşlar için önemli riskler oluşturdu.

Uzantının Kaldırılması ve Güvenlik Etkileri

Kötü amaçlı faaliyetin tespit edilmesinin ardından Google, QuickLens - Google Lens ile Arama Ekranı uzantısını Chrome Web Mağazası'ndan kaldırdı ve devre dışı bıraktı. Bu önleme rağmen, daha önce uzantıyı yüklemiş olan sistemler, yazılım hala mevcutsa risk altında kalabilir.

Etkilenen kullanıcılar, uzantıyı derhal kaldırmalı ve sistemlerini olası güvenlik açıklarına karşı gözden geçirmelidir. Kimlik bilgilerinin değiştirilmesi, cüzdan güvenlik kontrolleri ve sistem taramaları şiddetle tavsiye edilir.

QuickLens olayı, tarayıcı uzantılarıyla ilişkili artan güvenlik risklerini vurgulamaktadır. Başlangıçta meşru bir araç olarak ortaya çıkan yazılımlar bile, sahiplik değiştiğinde ve kötü amaçlı güncellemeler resmi güncelleme kanalları aracılığıyla dağıtıldığında tehdit haline gelebilir. Bu olay, güvenilir uygulamaların güvenlik kontrollerini atlatmak, hassas verileri çalmak ve büyük ölçekli sosyal mühendislik saldırıları gerçekleştirmek için nasıl kötüye kullanılabileceğini göstermektedir.