QuickLens - 搜索屏幕带有 Google Lens 恶意扩展程序
QuickLens - Search Screen with Google Lens 浏览器扩展程序最初被宣传为一款便捷的工具,可用于搜索屏幕图像、翻译内容以及通过视觉查询检索产品信息。尽管其外观和功能看似合法,但该扩展程序最终演变成严重的网络安全威胁。调查显示,该软件包含恶意脚本,能够窃取敏感信息并对受感染的系统发起 ClickFix 社会工程攻击。
最初,该扩展程序拥有庞大的用户群,并广受信任。然而,2026年2月发生了重大变化,该扩展程序被出售到浏览器扩展程序市场,并被一位使用邮箱地址“support@doodlebuggle.top”和公司名称为LLC Quick Lens的新所有者收购。收购后不久,该扩展程序推出了一项可疑的隐私政策,随后又发布了一个恶意更新,并分发给了所有用户。
目录
恶意更新通过官方渠道传播
由于该扩展程序已被数千用户安装,恶意更新迅速传播。Chrome 网上应用商店的自动更新机制无需用户额外操作,就将受感染的版本直接推送给了现有用户。
更新后的版本请求了大量浏览器权限,使其能够监控浏览行为并修改网站活动。这些权限使得该扩展程序能够移除网站通常强制执行的关键安全保护措施。旨在阻止恶意脚本、防止网站框架嵌入以及缓解某些攻击手段的安全措施均被禁用,从而大大降低了注入的恶意代码在受害者访问的任何页面上执行的几率。
与指挥控制基础设施的持续通信
安装完成后,受感染的扩展程序会与远程命令与控制 (C2) 服务器建立通信。该恶意软件会为每个受感染用户生成一个唯一标识符,并收集地理位置、浏览器类型和操作系统等环境信息。
该扩展程序每五分钟向远程服务器发送一次请求,从而保持持续通信。这些定期检查使得攻击者能够传递新的指令、更新恶意载荷,或在受感染的系统上发起其他攻击行动。
ClickFix 社交工程和虚假更新提醒
恶意版本的 QuickLens 还采用了激进的社会工程学技术。它能够将脚本注入受害者访问的任何网页,从而显示欺诈性的 Google 更新通知。
这些欺骗性警报旨在模仿合法的软件更新提示。实际上,它们是ClickFix式攻击的一部分,这种攻击手法会诱使用户执行有害命令或下载其他恶意软件。攻击者通过在多个网站上展示这些警报,提高了受害者信任提示并执行恶意指令的可能性。
加密货币钱包和数据盗窃能力
被入侵的扩展程序最危险的功能之一是针对加密货币资产和敏感用户数据。嵌入的恶意脚本会扫描浏览器,查找已安装的加密货币钱包,并试图提取钱包助记词、身份验证凭据和敏感表单数据等机密信息。
该恶意软件专门针对以下加密货币钱包平台:
- 氩气
- 背包
- 币安链钱包
- Brave钱包
- Coinbase钱包
- 出埃及记
- MetaMask
- 幻影
- 太阳耀斑
- Trust Wallet
- WalletConnect
除了窃取加密货币之外,该扩展程序还能窃取用户在网站上输入的各种敏感数据,包括登录凭证、支付信息以及通过网页表单传输的其他个人数据。
访问在线账户和商业平台
进一步分析表明,该恶意扩展程序能够访问并提取多个常用在线平台的信息。这些能力使得潜在危害不仅限于个人用户,还波及企业和内容创作者。
数据收集能力包括:
- 读取Gmail收件箱中的电子邮件数据
- 从 Facebook Business Manager 收集广告帐户信息
- 从 YouTube 频道检索分析和运营数据
此功能给通过受影响的浏览器管理营销活动、财务账户或在线媒体平台的组织带来了重大风险。
移除扩展程序及其安全隐患
发现恶意活动后,谷歌已从 Chrome 网上应用商店移除并禁用了 QuickLens - Search Screen with Google Lens 扩展程序。尽管如此,如果该软件仍然存在于之前安装过此扩展程序的系统中,则这些系统仍可能面临风险。
受影响的用户应立即卸载该扩展程序,并检查系统是否存在潜在安全隐患。强烈建议更改凭证、检查钱包安全并进行系统扫描。
QuickLens事件凸显了浏览器扩展程序日益增长的安全风险。即使是最初作为合法工具的软件,一旦所有权发生变更,恶意更新通过官方更新渠道传播,也可能变成威胁。此案例表明,受信任的应用程序如何被恶意利用,绕过安全控制、窃取敏感数据并实施大规模社会工程攻击。
