Kompromitteringen af QuickLens Chrome-udvidelsen udsatte tusindvis af brugere for kryptotyveri og ClickFix-lignende angreb, efter at en ondsindet opdatering forvandlede et legitimt browserværktøj til en platform for distribution af malware. Forskere opdagede, at udvidelsen, som tidligere var fremhævet i Chrome Web Store, i stilhed injicerede skadelige scripts designet til at stjæle wallet-oplysninger og levere social engineering-angreb.
Sagen understreger risikoen ved browserudvidelser, især efter ejerskifte. Selv betroede tilføjelser kan blive angrebsvektorer, hvis trusselsaktører får kontrol over deres opdateringskanaler.
Hvordan QuickLens Chrome-udvidelsen blev kompromitteret
QuickLens fungerede oprindeligt som et browserværktøj, der forbedrede søgefunktioner via integration med Google Lens. Den opnåede synlighed i Chrome Web Store og tiltrak omkring 7.000 brugere. Efter et ejerskifte introducerede en ny version af udvidelsen imidlertid ondsindet kode.
Den opdaterede version anmodede om omfattende tilladelser, som gjorde det muligt at læse og ændre data på besøgte websites. Efter installation fjernede den centrale browserbeskyttelser ved at deaktivere Content Security Policy. Dette gjorde det muligt at afvikle indlejrede scripts på sider, der normalt blokerer sådan aktivitet.
Den ondsindede version oprettede også forbindelse til en ekstern kommandoserver. Den genererede unikke identifikatorer for inficerede systemer og hentede løbende nye instruktioner. Denne infrastruktur gjorde det muligt for angribere dynamisk at implementere yderligere nyttelaster uden yderligere brugerinteraktion.
Kryptotyverifunktioner
Den kompromitterede udvidelse søgte aktivt efter installerede kryptowallet-udvidelser, herunder populære platforme som MetaMask, Coinbase Wallet og Phantom. Når disse blev fundet, forsøgte de injicerede scripts at opsnappe wallet-aktivitet og indsamle følsomme oplysninger.
Ved at målrette wallet-data og gendannelsesoplysninger kunne angribere opnå fuld kontrol over berørte konti. Når en seed-frase eller privat nøgle først er kompromitteret, kan midler overføres øjeblikkeligt og uden mulighed for tilbageførsel.
Udvidelsen indsamlede også loginoplysninger og andre følsomme formulardata indtastet på websites. Dette udvidede konsekvenserne ud over kryptotyveri og kunne eksponere finansielle og kontorelaterede oplysninger på tværs af flere tjenester.
ClickFix-angreb via social engineering
Ud over indsamling af legitimationsoplysninger leverede kompromitteringen af QuickLens Chrome-udvidelsen ClickFix-lignende angrebsmeddelelser. Ofre blev præsenteret for falske browser- eller Google-opdateringsnotifikationer, som blev injiceret direkte i de websites, de besøgte.
Disse vildledende meddelelser opfordrede brugere til at udføre kommandoer eller downloade skadelige filer. Taktikken bygger på overbevisende visuelle elementer, der fremstår legitime, hvilket øger sandsynligheden for, at brugere følger instruktionerne.
Når den sekundære nyttelast blev eksekveret, kunne angrebet eskalere ud over browserniveau. Den flertrinsbaserede tilgang kombinerede teknisk udnyttelse med social manipulation for at maksimere effekten.
Googles reaktion og brugerforanstaltninger
Efter at forskere rapporterede den ondsindede aktivitet, fjernede Google QuickLens fra Chrome Web Store. Chrome deaktiverede automatisk udvidelsen for berørte brugere. Fjernelse alene garanterer dog ikke, at følsomme data forbliver sikre.
Brugere, der har installeret den kompromitterede udvidelse, bør udføre en fuld systemscanning med anerkendt sikkerhedssoftware. De bør også ændre adgangskoder til vigtige konti og flytte kryptomidler til en ny wallet med en ny gendannelsesfrase.
Da udvidelsen havde dyb adgang til browserdata, kan gemte legitimationsoplysninger kræve forebyggende opdateringer.
Konklusion
Kompromitteringen af QuickLens Chrome-udvidelsen viser, hvordan browsertilføjelser kan blive effektive distributionskanaler for malware efter en ondsindet opdatering. Angribere brugte udvidelsen til at omgå browserbeskyttelser, stjæle kryptowallet-oplysninger og gennemføre ClickFix-angreb. Brugere bør begrænse udvidelsestilladelser, overvåge ejerskifter og fjerne ubrugte tilføjelser for at reducere risikoen for lignende trusler fremover.
0 svar til “QuickLens Chrome-udvidelse kompromitteret og muliggør kryptotyveri”