Kompromitteringen av QuickLens Chrome-utvidelsen eksponerte tusenvis av brukere for kryptotyveri og ClickFix-lignende angrep etter at en ondsinnet oppdatering forvandlet et legitimt nettleserverktøy til en plattform for distribusjon av skadevare. Forskere oppdaget at utvidelsen, som tidligere var fremhevet i Chrome Web Store, i det skjulte injiserte skadelige skript utviklet for å stjele lommeboklegitimasjon og levere sosial manipulering.
Saken belyser risikoen knyttet til nettleserutvidelser, særlig etter eierskifter. Selv pålitelige tillegg kan bli angrepsvektorer dersom trusselaktører får kontroll over oppdateringskanalene.
Hvordan QuickLens Chrome-utvidelsen ble kompromittert
QuickLens fungerte opprinnelig som et nettleserverktøy som forbedret søkefunksjonalitet gjennom integrasjon med Google Lens. Den fikk synlighet i Chrome Web Store og tiltrakk seg rundt 7 000 brukere. Etter et eierskifte introduserte imidlertid en ny versjon av utvidelsen ondsinnet kode.
Den oppdaterte versjonen ba om omfattende tillatelser som gjorde det mulig å lese og endre data på besøkte nettsteder. Etter installasjon fjernet den viktige nettleserbeskyttelser ved å deaktivere Content Security Policy. Dette gjorde det mulig å kjøre innebygde skript på sider som normalt blokkerer slik aktivitet.
Den ondsinnede versjonen koblet seg også til en ekstern kommandoserver. Den genererte unike identifikatorer for infiserte systemer og hentet jevnlig nye instruksjoner. Denne infrastrukturen gjorde det mulig for angripere å distribuere nyttelaster dynamisk uten ytterligere brukerinteraksjon.
Kryptotyverifunksjoner
Den kompromitterte utvidelsen søkte aktivt etter installerte kryptolommebok-utvidelser, inkludert populære plattformer som MetaMask, Coinbase Wallet og Phantom. Når slike ble oppdaget, forsøkte de injiserte skriptene å fange opp lommebokaktivitet og samle inn sensitiv informasjon.
Ved å målrette lommebokdata og gjenopprettingsopplysninger kunne angripere få full kontroll over berørte kontoer. Når en seed-frase eller privat nøkkel blir eksponert, kan midler overføres umiddelbart og irreversibelt.
Utvidelsen samlet også inn påloggingsinformasjon og annen sensitiv skjemadata som ble lagt inn på nettsteder. Dette utvidet konsekvensene utover kryptotyveri og kunne eksponere finansielle opplysninger og kontoer på tvers av flere tjenester.
ClickFix-angrep med sosial manipulering
I tillegg til innsamling av legitimasjon leverte kompromitteringen av QuickLens Chrome-utvidelsen ClickFix-lignende angrepsvarsler. Ofre ble møtt med falske nettleser- eller Google-oppdateringsmeldinger som ble injisert direkte i besøkte nettsider.
Disse villedende meldingene oppfordret brukere til å kjøre kommandoer eller laste ned ondsinnede filer. Taktikken baserer seg på overbevisende visuelle elementer som fremstår som legitime, noe som øker sannsynligheten for at brukere følger instruksjonene.
Når den sekundære nyttelasten ble kjørt, kunne angrepet eskalere utover nettlesernivået. Denne flerstegsmetoden kombinerte teknisk utnyttelse med sosial manipulering for å maksimere effekten.
Googles respons og brukertiltak
Etter at forskere rapporterte den ondsinnede aktiviteten, fjernet Google QuickLens fra Chrome Web Store. Chrome deaktiverte automatisk utvidelsen for berørte brukere. Fjerning alene garanterer imidlertid ikke at sensitiv informasjon forblir sikker.
Brukere som installerte den kompromitterte utvidelsen bør gjennomføre en full systemskanning med anerkjent sikkerhetsprogramvare. De bør også tilbakestille passord for viktige kontoer og flytte kryptomidler til en ny lommebok med en ny gjenopprettingsfrase.
Siden utvidelsen hadde dyp tilgang til nettleserdata, kan lagrede legitimasjoner kreve forebyggende oppdateringer.
Konklusjon
Kompromitteringen av QuickLens Chrome-utvidelsen viser hvordan nettlesertillegg kan bli kraftige distribusjonskanaler for skadevare etter en ondsinnet oppdatering. Angripere brukte utvidelsen til å omgå nettleserbeskyttelser, stjele kryptolegitimasjon og gjennomføre ClickFix-angrep. Brukere bør begrense utvidelsestillatelser, følge med på eierskifter og fjerne ubrukte tillegg for å redusere risikoen for lignende trusler i fremtiden.
0 responses to “QuickLens Chrome-utvidelse kompromittert og muliggjør kryptotyveri”