QuickLens - Màn hình tìm kiếm với tiện ích mở rộng độc hại Google Lens

Tiện ích mở rộng trình duyệt QuickLens - Search Screen with Google Lens ban đầu được quảng bá như một công cụ tiện lợi để tìm kiếm hình ảnh trên màn hình, dịch nội dung và truy xuất thông tin sản phẩm thông qua các truy vấn trực quan. Mặc dù có vẻ ngoài và chức năng hợp pháp, tiện ích mở rộng này cuối cùng đã trở thành một mối đe dọa an ninh mạng nghiêm trọng. Các cuộc điều tra cho thấy phần mềm này chứa các kịch bản độc hại có khả năng thu thập thông tin nhạy cảm và thực hiện các cuộc tấn công kỹ thuật xã hội ClickFix trên các hệ thống bị nhiễm.

Ban đầu, tiện ích mở rộng này có một lượng lớn người dùng hiện có và được nhiều người tin tưởng. Tuy nhiên, một thay đổi nghiêm trọng đã xảy ra vào tháng 2 năm 2026, khi tiện ích mở rộng này được bán trên một chợ tiện ích mở rộng trình duyệt và được tiếp quản bởi một chủ sở hữu mới hoạt động dưới địa chỉ email 'support@doodlebuggle.top' và tên công ty LLC Quick Lens. Ngay sau khi được mua lại, một chính sách bảo mật đáng ngờ đã được đưa ra, tiếp theo là việc phát hành một bản cập nhật độc hại được phân phối cho tất cả người dùng.

Bản cập nhật độc hại được phân phối qua các kênh chính thức.

Vì tiện ích mở rộng này đã được hàng nghìn người dùng cài đặt, bản cập nhật độc hại đã lây lan nhanh chóng. Cơ chế cập nhật tự động của Chrome Web Store đã phân phối phiên bản bị xâm nhập trực tiếp đến các bản cài đặt hiện có mà không cần người dùng can thiệp thêm.

Phiên bản cập nhật yêu cầu quyền truy cập trình duyệt mở rộng, cho phép nó theo dõi hành vi duyệt web và sửa đổi hoạt động của trang web. Những quyền này cho phép tiện ích mở rộng loại bỏ các biện pháp bảo vệ an ninh quan trọng thường được các trang web thực thi. Các biện pháp bảo vệ được thiết kế để chặn các tập lệnh độc hại, ngăn chặn việc nhúng trang web và giảm thiểu một số kỹ thuật tấn công nhất định đã bị vô hiệu hóa, khiến cho mã độc được chèn vào dễ dàng thực thi hơn trên bất kỳ trang nào mà nạn nhân truy cập.

Duy trì liên lạc với cơ sở hạ tầng chỉ huy và kiểm soát.

Sau khi cài đặt, phần mở rộng bị xâm nhập đã thiết lập liên lạc với máy chủ Điều khiển và Chỉ huy (C2) từ xa. Phần mềm độc hại tạo ra một mã định danh duy nhất cho mỗi người dùng bị nhiễm và thu thập thông tin môi trường như vị trí địa lý, loại trình duyệt và hệ điều hành.

Phần mở rộng này duy trì liên lạc liên tục với máy chủ từ xa bằng cách gửi yêu cầu cứ sau năm phút. Việc kiểm tra thường xuyên này cho phép kẻ tấn công cung cấp các chỉ thị mới, cập nhật các phần mềm độc hại hoặc khởi động các hành động tấn công bổ sung trên các hệ thống bị xâm nhập.

ClickFix xử lý các cuộc tấn công lừa đảo qua mạng và cảnh báo cập nhật giả mạo

Phiên bản độc hại của QuickLens cũng sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) tinh vi. Nó có khả năng chèn mã độc vào bất kỳ trang web nào mà nạn nhân truy cập, cho phép hiển thị các thông báo cập nhật giả mạo của Google.

Những cảnh báo lừa đảo này được thiết kế để bắt chước các thông báo cập nhật phần mềm hợp pháp. Trên thực tế, chúng là một phần của cuộc tấn công kiểu ClickFix, một kỹ thuật thao túng người dùng thực hiện các lệnh độc hại hoặc tải xuống phần mềm độc hại bổ sung. Bằng cách hiển thị các cảnh báo trên nhiều trang web, những kẻ tấn công đã tăng khả năng nạn nhân tin tưởng vào thông báo và làm theo các hướng dẫn độc hại.

Khả năng bảo vệ ví tiền điện tử và chống trộm dữ liệu

Một trong những chức năng nguy hiểm nhất của tiện ích mở rộng bị xâm nhập liên quan đến việc nhắm mục tiêu vào tài sản tiền điện tử và dữ liệu nhạy cảm của người dùng. Các tập lệnh độc hại được nhúng đã quét trình duyệt để tìm các ví tiền điện tử đã được cài đặt và cố gắng trích xuất thông tin bí mật như cụm từ khôi phục ví, thông tin xác thực và dữ liệu biểu mẫu nhạy cảm.

Phần mềm độc hại này nhắm mục tiêu cụ thể vào các nền tảng ví tiền điện tử sau:

• Argon
• Balo
• Ví Binance Chain
• Ví Brave
• Ví Coinbase
• Di cư
• MetaMask
• Ma
• Solflare
• Ví Tin Cậy
• WalletConnect

Ngoài việc đánh cắp tiền điện tử, tiện ích mở rộng này còn có khả năng thu thập nhiều loại dữ liệu nhạy cảm được nhập vào các trang web. Điều này bao gồm thông tin đăng nhập, thông tin thanh toán và các dữ liệu cá nhân khác được truyền qua các biểu mẫu trực tuyến.

Truy cập vào tài khoản trực tuyến và nền tảng kinh doanh

Phân tích sâu hơn cho thấy tiện ích mở rộng độc hại này có thể truy cập và trích xuất thông tin từ nhiều nền tảng trực tuyến phổ biến. Khả năng này mở rộng phạm vi gây hại không chỉ cho người dùng cá nhân mà còn cho các doanh nghiệp và người tạo nội dung.

Các khả năng thu thập dữ liệu bao gồm:

• Đọc dữ liệu email trong hộp thư đến Gmail
• Thu thập thông tin tài khoản quảng cáo từ Facebook Business Manager
• Thu thập dữ liệu phân tích và vận hành từ các kênh YouTube

Chức năng này tạo ra những rủi ro đáng kể cho các tổ chức quản lý chiến dịch tiếp thị, tài khoản tài chính hoặc nền tảng truyền thông trực tuyến thông qua các trình duyệt bị ảnh hưởng.

Gỡ bỏ tiện ích mở rộng và những hệ lụy về bảo mật

Sau khi phát hiện hoạt động độc hại, Google đã gỡ bỏ và vô hiệu hóa tiện ích mở rộng QuickLens - Search Screen with Google Lens khỏi Chrome Web Store. Mặc dù vậy, các hệ thống đã cài đặt tiện ích mở rộng này trước đó vẫn có thể gặp rủi ro nếu phần mềm vẫn còn tồn tại.

Người dùng bị ảnh hưởng nên gỡ cài đặt tiện ích mở rộng ngay lập tức và kiểm tra hệ thống của mình để tìm kiếm nguy cơ bị xâm nhập. Chúng tôi đặc biệt khuyến nghị nên thay đổi thông tin đăng nhập, kiểm tra bảo mật ví và quét hệ thống.

Vụ việc QuickLens làm nổi bật những rủi ro bảo mật ngày càng gia tăng liên quan đến các tiện ích mở rộng trình duyệt. Ngay cả phần mềm ban đầu là một công cụ hợp pháp cũng có thể trở thành mối đe dọa khi quyền sở hữu thay đổi và các bản cập nhật độc hại được phân phối thông qua các kênh cập nhật chính thức. Trường hợp này cho thấy các ứng dụng đáng tin cậy có thể bị lợi dụng để vượt qua các biện pháp kiểm soát bảo mật, đánh cắp dữ liệu nhạy cảm và thực hiện các cuộc tấn công kỹ thuật xã hội quy mô lớn.