QuickLens Chrome екстензија краде крипто, прикажува ClickFix напад

Chrome екстензија наречена „QuickLens – Search Screen with Google Lens“ е отстранета од Chrome Web Store откако беше компромитирана за да шири малициозен софтвер и да се обиде да украде криптовалути од илјадници корисници.

QuickLens првично беше објавена како Chrome екстензија што им овозможува на корисниците да вршат Google Lens пребарувања директно во нивниот прелистувач. Екстензијата порасна на околу 7.000 корисници и во еден момент доби и „featured“ ознака од Google.

Сепак, на 17 февруари 2026 година беше објавена нова верзија 5.8 која содржеше малициозни скрипти што воведоа ClickFix напади и функционалност за кражба на информации кај оние што ја користеа екстензијата.

Малициозната QuickLens екстензија

Безбедносните истражувачи од Annex први објавија дека екстензијата неодамна го сменила сопственикот откако била ставена на продажба на ExtensionHub, пазар каде што програмери продаваат екстензии за прелистувачи.

Annex наведува дека на 1 февруари 2026 година сопственикот бил променет во support@doodlebuggle.top под името „LLC Quick Lens“, со нова политика за приватност поставена на едвај функционален домен. Само нешто повеќе од две недели подоцна, малициозното ажурирање им било испратено на корисниците.

Анализата на Annex покажува дека верзијата 5.8 побарала нови дозволи од прелистувачот, вклучувајќи declarativeNetRequestWithHostAccess и webRequest.

Исто така вклучувала rules.json датотека што ги отстранувала безбедносните заглавија на прелистувачот, како Content-Security-Policy (CSP), X-Frame-Options и X-XSS-Protection, од сите страници и рамки. Овие заглавија би го отежнале извршувањето на малициозни скрипти на веб-страници.

Ажурирањето исто така вовело комуникација со command-and-control (C2) сервер на api.extensionanalyticspro[.]top. Според Annex, екстензијата генерирала траен UUID, ја утврдувала земјата на жртвата користејќи Cloudflare trace endpoint, го идентификувала прелистувачот и оперативниот систем, и потоа на секои пет минути го проверувала C2 серверот за инструкции.

BleepingComputer дозна за екстензијата оваа недела откако забележа бројни корисници [1, 2] кои пријавиле лажни Google Update известувања на секоја веб-страница што ја посетувале.

„Тоа се појавува на секоја страница што ја отворам. Мислев дека е затоа што Chrome не бил ажуриран, но и по ажурирањето продолжува да се појавува,“ изјавил еден корисник што барал помош на Reddit.

„Секако дека нема да го извршам кодот што го копира во clipboard и го бара да се стартува во Run прозорецот, но продолжува да се појавува на секоја страница, правејќи го невозможно да се интерагира со било што.“

Анализата на BleepingComputer на екстензијата покажала дека таа се поврзувала со C2 сервер на https://api.extensionanalyticspro[.]top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto, од каде примала низа малициозни JavaScript скрипти.

Овие payload-и потоа се извршувале при секое вчитување на страница користејќи техника што Annex ја опишал како „1×1 GIF pixel onload trick.“

Бидејќи екстензијата ги отстранувала CSP заглавијата од сите посетени страници, извршувањето на овој inline JavaScript функционирало дури и на страници кои вообичаено би го блокирале.

Првиот payload контактирал со google-update[.]icu, од каде што примал дополнителен payload кој прикажувал лажно Google Update известување. Со кликнување на копчето за ажурирање се прикажувал ClickFix напад, кој ги поттикнувал корисниците да извршат „верификација“ со стартување на код на своите компјутери.

За корисниците на Windows, ова доведувало до преземање на малициозна извршна датотека наречена „googleupdate.exe“ [VirusTotal], која била потпишана со сертификат од „Hubei Da’e Zhidao Food Technology Co., Ltd.“

По извршувањето, малициозниот софтвер стартувал скриена PowerShell команда која отворала втора PowerShell инстанца за да се поврзе со drivers[.]solutions/META-INF/xuoa.sys користејќи сопствен „Katzilla“ user agent.

Одговорот бил проследен во Invoke-Expression за извршување. Сепак, во моментот кога BleepingComputer ги анализирал payload-ите, URL-адресата од втората фаза повеќе не испорачувала малициозна содржина.

Друг малициозен JavaScript „agent“ испорачан од C2 серверот https://api.extensionanalyticspro[.]top бил користен за кражба на крипто-паричници и акредитиви.

Екстензијата проверувала дали се инсталирани MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Backpack, Brave Wallet, Exodus, Binance Chain Wallet, WalletConnect и Argon крипто-паричници. Доколку биле пронајдени, се обидувала да украде активности и seed фрази, кои потоа би се користеле за преземање контрола врз паричниците и кражба на средствата.

Друг скрипт собирал кориснички имиња и лозинки, информации за плаќање и други чувствителни податоци внесени во формулари.

Дополнителни payload-и биле користени за преземање содржина од Gmail inbox, извлекување податоци од Facebook Business Manager рекламни сметки и собирање информации за YouTube канали.

Преглед на сега отстранетата страница на Chrome екстензијата тврди дека корисниците на macOS биле таргетирани со AMOS (Atomic Stealer) infostealer. BleepingComputer не успеал независно да потврди дали овие тврдења се точни.

Google во меѓувреме ја отстранил QuickLens од Chrome Web Store, а Chrome сега автоматски ја оневозможува за засегнатите корисници.

Корисниците кои ја инсталирале „QuickLens – Search Screen with Google Lens“ треба да се осигураат дека екстензијата е целосно отстранета, да го скенираат својот уред за малициозен софтвер и да ги ресетираат лозинките за сите акредитиви зачувани во прелистувачот.

Доколку користите некој од споменатите криптовалутни паричници, треба да ги префрлите средствата во нов паричник.

Оваа екстензија не е првата што се користи во ClickFix напади. Минатиот месец, Huntress откри екстензија за прелистувач која намерно ги уриваше прелистувачите, а потоа прикажуваше лажни „поправки“ што го инсталираа малициозниот софтвер ModeloRAT.

Извори:

• Bleeping Computer – QuickLens Chrome extension steals crypto, shows ClickFix attack Bleeping Computer