QuickLens - 搜尋畫面帶有 Google Lens 惡意擴充程式
QuickLens - Search Screen with Google Lens 瀏覽器擴充功能最初被宣傳為一款便捷的工具,可用於搜尋螢幕圖像、翻譯內容以及透過視覺查詢檢索產品資訊。儘管其外觀和功能看似合法,但該擴充功能最終演變成嚴重的網路安全威脅。調查顯示,該軟體包含惡意腳本,能夠竊取敏感資訊並對受感染的系統發動 ClickFix 社會工程攻擊。
最初,該擴充功能擁有龐大的用戶群,並廣受信任。然而,2026年2月發生了重大變化,該擴充功能被出售到瀏覽器擴充功能市場,並被一位使用郵箱地址“support@doodlebuggle.top”和公司名稱為LLC Quick Lens的新所有者收購。收購後不久,該擴充功能推出了一項可疑的隱私權政策,隨後又發布了一個惡意更新,並分發給了所有用戶。
目錄
惡意更新透過官方管道傳播
由於該擴充功能已被數千用戶安裝,惡意更新迅速傳播。 Chrome 網路應用程式商店的自動更新機制無需用戶額外操作,就將受感染的版本直接推送給了現有用戶。
更新後的版本請求了大量瀏覽器權限,使其能夠監控瀏覽行為並修改網站活動。這些權限使得該擴充功能能夠移除網站通常強制執行的關鍵安全保護措施。旨在阻止惡意腳本、防止網站框架嵌入以及緩解某些攻擊手段的安全措施均被禁用,從而大大降低了注入的惡意程式碼在受害者訪問的任何頁面上執行的幾率。
與指揮控制基礎設施的持續通信
安裝完成後,受感染的擴充功能會與遠端命令與控制 (C2) 伺服器建立通訊。該惡意軟體會為每個受感染用戶產生一個唯一標識符,並收集地理位置、瀏覽器類型和作業系統等環境資訊。
此擴充功能每五分鐘向遠端伺服器發送一次請求,從而保持持續通訊。這些定期檢查使得攻擊者能夠傳遞新的指令、更新惡意負荷,或在受感染的系統上發動其他攻擊行動。
ClickFix 社交工程與假更新提醒
惡意版本的 QuickLens 也採用了激進的社會工程技術。它能夠將腳本注入受害者訪問的任何網頁,從而顯示欺詐性的 Google 更新通知。
這些欺騙性警報旨在模仿合法的軟體更新提示。實際上,它們是ClickFix式攻擊的一部分,這種攻擊手法會誘使用戶執行有害指令或下載其他惡意軟體。攻擊者透過在多個網站上展示這些警報,提高了受害者信任提示並執行惡意指令的可能性。
加密貨幣錢包和資料竊取能力
被入侵的擴充功能最危險的功能之一是針對加密貨幣資產和敏感用戶資料。嵌入的惡意腳本會掃描瀏覽器,尋找已安裝的加密貨幣錢包,並試圖提取錢包助記詞、身份驗證憑證和敏感表單資料等機密資訊。
該惡意軟體專門針對以下加密貨幣錢包平台:
- 氬氣
- 背包
- 幣安鏈錢包
- Brave錢包
- Coinbase錢包
- 出埃及記
- MetaMask
- 幻影
- 太陽耀斑
- Trust Wallet
- WalletConnect
除了竊取加密貨幣之外,該擴充功能還能竊取使用者在網站上輸入的各種敏感數據,包括登入憑證、付款資訊以及透過網頁表單傳輸的其他個人資料。
存取線上帳戶和商業平台
進一步分析表明,該惡意擴充功能能夠存取並提取多個常用線上平台的資訊。這些能力使得潛在危害不僅限於個人用戶,也波及企業和內容創作者。
資料收集能力包括:
- 讀取Gmail收件匣中的電子郵件數據
- 從 Facebook Business Manager 收集廣告帳戶信息
- 從 YouTube 頻道檢索分析和營運數據
此功能為透過受影響的瀏覽器管理行銷活動、財務帳戶或線上媒體平台的組織帶來了重大風險。
移除擴充功能及其安全隱患
發現惡意活動後,Google 已從 Chrome 線上應用程式商店移除並停用了 QuickLens - Search Screen with Google Lens 擴充功能。儘管如此,如果該軟體仍然存在於先前安裝過此擴充功能的系統中,則這些系統仍可能面臨風險。
受影響的使用者應立即卸載該擴充程序,並檢查系統是否有潛在安全隱患。強烈建議更改憑證、檢查錢包安全性並進行系統掃描。
QuickLens事件凸顯了瀏覽器擴充功能日益增長的安全風險。即使是最初作為合法工具的軟體,一旦所有權發生變更,惡意更新透過官方更新管道傳播,也可能變成威脅。此案例表明,受信任的應用程式如何被惡意利用,繞過安全控制、竊取敏感資料並實施大規模社會工程攻擊。
