QuickLens – екран пошуку за допомогою шкідливого розширення Google Lens

Розширення для браузера QuickLens — екран пошуку з Google Lens спочатку рекламувалося як зручний інструмент для пошуку зображень на екрані, перекладу контенту та отримання інформації про продукт за допомогою візуальних запитів. Незважаючи на свій легітимний вигляд та функціональність, розширення зрештою перетворилося на серйозну загрозу кібербезпеці. Розслідування показали, що програмне забезпечення містило шкідливі скрипти, здатні збирати конфіденційну інформацію та запускати атаки соціальної інженерії ClickFix на заражених системах.

Спочатку розширення мало велику базу користувачів і користувалося широкою довірою. Однак критична зміна відбулася в лютому 2026 року, коли розширення було продано на ринку розширень для браузерів і поглинуто новим власником, який працював під адресою електронної пошти «support@doodlebuggle.top» та назвою компанії LLC Quick Lens. Невдовзі після придбання було запроваджено підозрілу політику конфіденційності, а потім випущено шкідливе оновлення, розповсюджене серед усіх користувачів.

Шкідливе оновлення, доставлене через офіційні канали

Оскільки розширення вже було встановлено тисячами користувачів, шкідливе оновлення швидко поширилося. Механізм автоматичного оновлення Інтернет-магазину Chrome доставляв скомпрометовану версію безпосередньо до існуючих інсталяцій, не вимагаючи додаткової взаємодії з користувачем.

Оновлена версія вимагала розширених дозволів браузера, які дозволяли відстежувати поведінку веб-переглядачів та змінювати активність веб-сайту. Ці дозволи дозволили розширенню видалити критичні засоби безпеки, які зазвичай застосовуються веб-сайтами. Захисні заходи, призначені для блокування шкідливих скриптів, запобігання фреймінгу сайтів та пом'якшення певних методів атаки, були вимкнені, що значно полегшило виконання впровадженого шкідливого коду на будь-якій сторінці, яку відвідує жертва.

Постійний зв’язок з інфраструктурою командування та управління

Після встановлення скомпрометоване розширення встановлювало зв'язок із віддаленим сервером командування та управління (C2). Шкідливе програмне забезпечення генерувало унікальний ідентифікатор для кожного зараженого користувача та збирало інформацію про середовище, таку як географічне розташування, тип браузера та операційна система.

Розширення підтримувало постійний зв'язок з віддаленим сервером, надсилаючи запити кожні п'ять хвилин. Ці регулярні перевірки дозволяли зловмисникам доставляти нові інструкції, оновлювати шкідливі корисні навантаження або ініціювати додаткові атаки на скомпрометованих системах.

Соціальна інженерія ClickFix та сповіщення про фальшиві оновлення

Шкідлива версія QuickLens також використовувала агресивні методи соціальної інженерії. Вона мала можливість вставляти скрипти на будь-яку веб-сторінку, яку відвідує жертва, що дозволяло їй відображати шахрайські сповіщення Google Update.

Ці оманливі сповіщення були розроблені для імітації легітимних запитів на оновлення програмного забезпечення. Насправді вони були частиною атаки в стилі ClickFix – техніки, яка маніпулює користувачами, змушуючи їх виконувати шкідливі команди або завантажувати додаткове шкідливе програмне забезпечення. Розміщуючи сповіщення на кількох веб-сайтах, зловмисники збільшували ймовірність того, що жертви довірятимуть запиту та виконуватимуть шкідливі інструкції.

Можливості криптовалютного гаманця та крадіжки даних

Одна з найнебезпечніших функцій скомпрометованого розширення полягала в атаках на криптовалютні активи та конфіденційні дані користувачів. Вбудовані шкідливі скрипти сканували браузери на наявність встановлених криптовалютних гаманців та намагалися витягти конфіденційну інформацію, таку як основні фрази гаманця, облікові дані автентифікації та конфіденційні дані форм.

Шкідливе програмне забезпечення було спрямоване на такі платформи криптовалютних гаманців:

• Аргон
• Рюкзак
• Гаманець Binance Chain
• Хоробрий гаманець
• Гаманець Coinbase
• Вихід
• МетаМаска
• Фантом
• Солфлейр
• Довірчий гаманець
• WalletConnect

Окрім крадіжки криптовалюти, розширення було здатне збирати широкий спектр конфіденційних даних, що вводилися на веб-сайти. Це включало облікові дані для входу, платіжну інформацію та інші персональні дані, що передаються через веб-форми.

Доступ до онлайн-акаунтів та бізнес-платформ

Подальший аналіз показав, що шкідливе розширення може отримувати доступ та витягувати інформацію з кількох широко використовуваних онлайн-платформ. Ці можливості розширили потенційну шкоду не лише для окремих користувачів, але й для бізнесу та творців контенту.

Можливості збору даних включали:

• Читання даних електронної пошти у вхідних повідомленнях Gmail
• Збір інформації про рекламний обліковий запис від Facebook Business Manager
• Отримання аналітики та операційних даних з каналів YouTube

Ця функціональність створювала значні ризики для організацій, які керують маркетинговими кампаніями, фінансовими обліковими записами або онлайн-медіаплатформами через уражені браузери.

Видалення розширення та наслідки для безпеки

Після виявлення шкідливої активності Google видалив та вимкнув розширення QuickLens - Search Screen with Google Lens з веб-магазину Chrome. Незважаючи на ці дії, системи, на яких раніше було встановлено розширення, можуть залишатися під загрозою, якщо програмне забезпечення все ще присутнє.

Постраждалим користувачам слід негайно видалити розширення та перевірити свої системи на наявність потенційної компрометації. Наполегливо рекомендується змінити облікові дані, перевірити безпеку гаманців та сканувати систему.

Інцидент із QuickLens підкреслює зростаючі ризики безпеки, пов’язані з розширеннями браузера. Навіть програмне забезпечення, яке спочатку є легітимним інструментом, може стати загрозою, коли змінюється власник, а шкідливі оновлення поширюються через офіційні канали оновлень. Цей випадок демонструє, як довірені програми можуть бути використані як зброя для обходу контролю безпеки, крадіжки конфіденційних даних та проведення масштабних атак соціальної інженерії.