Die Kompromittierung der QuickLens-Chrome-Erweiterung setzte tausende Nutzer dem Risiko von Krypto-Diebstahl und ClickFix-ähnlichen Angriffen aus, nachdem ein bösartiges Update ein legitimes Browser-Tool in eine Malware-Verteilplattform verwandelte. Sicherheitsforscher stellten fest, dass die Erweiterung, die zuvor im Chrome Web Store beworben wurde, unbemerkt schädliche Skripte einschleuste, die auf den Diebstahl von Wallet-Zugangsdaten und die Durchführung von Social-Engineering-Angriffen abzielten.
Der Fall verdeutlicht die Risiken von Browser-Erweiterungen, insbesondere nach einem Eigentümerwechsel. Selbst vertrauenswürdige Add-ons können zu Angriffsvektoren werden, wenn Bedrohungsakteure Kontrolle über deren Update-Mechanismen erlangen.
Wie die QuickLens-Chrome-Erweiterung kompromittiert wurde
QuickLens diente ursprünglich als Browser-Tool zur Verbesserung der Suchfunktionen durch Integration von Google Lens. Die Erweiterung gewann Sichtbarkeit im Chrome Web Store und verzeichnete rund 7.000 Nutzer. Nach einem Eigentümerwechsel enthielt eine neue Version jedoch schädlichen Code.
Die aktualisierte Version forderte umfangreiche Berechtigungen an, die das Lesen und Ändern von Daten auf besuchten Webseiten ermöglichten. Nach der Installation entfernte sie zentrale Browser-Schutzmechanismen, indem sie die Content-Security-Policy deaktivierte. Dadurch konnten Inline-Skripte auf Seiten ausgeführt werden, die solche Aktivitäten normalerweise blockieren.
Die manipulierte Version stellte außerdem eine Verbindung zu einem externen Command-and-Control-Server her. Sie generierte eindeutige Kennungen für infizierte Systeme und rief regelmäßig neue Anweisungen ab. Diese Infrastruktur ermöglichte es Angreifern, Schadmodule dynamisch bereitzustellen, ohne weitere Nutzerinteraktionen zu benötigen.
Funktionen zum Krypto-Diebstahl
Die kompromittierte Erweiterung suchte aktiv nach installierten Krypto-Wallet-Erweiterungen, darunter verbreitete Plattformen wie MetaMask, Coinbase Wallet und Phantom. Wurden solche Wallets erkannt, versuchten die eingeschleusten Skripte, Wallet-Aktivitäten abzufangen und sensible Informationen zu erfassen.
Durch die gezielte Erfassung von Wallet-Daten und Wiederherstellungsinformationen konnten Angreifer die vollständige Kontrolle über betroffene Konten erlangen. Sobald eine Seed-Phrase oder ein privater Schlüssel offengelegt wird, können Vermögenswerte sofort und irreversibel transferiert werden.
Darüber hinaus sammelte die Erweiterung Zugangsdaten und andere sensible Formulardaten, die auf Webseiten eingegeben wurden. Dies erweiterte das Schadenspotenzial über den reinen Krypto-Diebstahl hinaus und konnte Finanz- und Kontoinformationen zahlreicher Dienste betreffen.
ClickFix-Angriffe durch Social Engineering
Neben dem Diebstahl von Zugangsdaten lieferte die Kompromittierung der QuickLens-Chrome-Erweiterung auch ClickFix-ähnliche Angriffsaufforderungen. Nutzer sahen gefälschte Browser- oder Google-Update-Benachrichtigungen, die direkt in besuchte Webseiten injiziert wurden.
Diese täuschend echten Hinweise forderten die Nutzer auf, Befehle auszuführen oder schädliche Dateien herunterzuladen. Die Methode setzt auf überzeugende visuelle Elemente, die legitim wirken, und erhöht dadurch die Wahrscheinlichkeit, dass Nutzer den Anweisungen folgen.
Wurde die sekundäre Schadkomponente ausgeführt, konnte sich der Angriff über die Browser-Ebene hinaus ausweiten. Der mehrstufige Ansatz kombinierte technische Ausnutzung mit sozialer Manipulation, um maximale Wirkung zu erzielen.
Reaktion von Google und Maßnahmen für Nutzer
Nach der Meldung der schädlichen Aktivitäten entfernte Google QuickLens aus dem Chrome Web Store. Chrome deaktivierte die Erweiterung automatisch bei betroffenen Nutzern. Die bloße Entfernung garantiert jedoch nicht, dass sensible Daten weiterhin geschützt sind.
Nutzer, die die kompromittierte Erweiterung installiert haben, sollten einen vollständigen Systemscan mit vertrauenswürdiger Sicherheitssoftware durchführen. Zudem empfiehlt es sich, Passwörter wichtiger Konten zu ändern und Kryptowährungen in eine neu erstellte Wallet mit neuer Wiederherstellungsphrase zu übertragen.
Da die Erweiterung tiefgreifenden Zugriff auf Browserdaten hatte, könnten gespeicherte Zugangsdaten vorsorglich aktualisiert werden müssen.
Fazit
Die Kompromittierung der QuickLens-Chrome-Erweiterung zeigt, wie Browser-Erweiterungen nach einem bösartigen Update zu effektiven Malware-Verteilern werden können. Angreifer nutzten die Erweiterung, um Sicherheitsmechanismen zu umgehen, Krypto-Zugangsdaten zu stehlen und ClickFix-Angriffe durchzuführen. Nutzer sollten Erweiterungsberechtigungen einschränken, Eigentümerwechsel im Blick behalten und nicht benötigte Add-ons entfernen, um das Risiko ähnlicher Bedrohungen zu verringern.
0 Kommentare zu „QuickLens-Chrome-Erweiterung kompromittiert und ermöglicht Krypto-Diebstahl“