Komprometteringen av QuickLens Chrome-tillägget exponerade tusentals användare för kryptostöld och ClickFix-liknande attacker efter att en skadlig uppdatering förvandlade ett legitimt webbläsarverktyg till en plattform för spridning av skadlig kod. Forskare upptäckte att tillägget, som tidigare marknadsförts i Chrome Web Store, i tysthet injicerade skadliga skript utformade för att stjäla plånboksuppgifter och leverera sociala ingenjörsattacker.
Fallet belyser riskerna med webbläsartillägg, särskilt efter ägarbyten. Även betrodda tillägg kan bli angreppsvektorer om hotaktörer tar kontroll över deras uppdateringskanaler.
Hur QuickLens Chrome-tillägget komprometterades
QuickLens fungerade ursprungligen som ett webbläsarverktyg som förbättrade sökfunktioner genom integration med Google Lens. Det fick synlighet i Chrome Web Store och lockade cirka 7 000 användare. Efter ett ägarbyte introducerade dock en ny version av tillägget skadlig kod.
Den uppdaterade versionen begärde omfattande behörigheter som gjorde det möjligt att läsa och ändra data på besökta webbplatser. När det installerats tog det bort viktiga webbläsarskydd genom att inaktivera Content Security Policy-skydd. Detta gjorde det möjligt att köra inbäddade skript på sidor som normalt blockerar sådan aktivitet.
Den skadliga versionen anslöt också till en fjärrstyrd kommandoserver. Den genererade unika identifierare för infekterade system och hämtade regelbundet nya instruktioner. Denna infrastruktur gjorde det möjligt för angripare att dynamiskt distribuera nyttolaster utan ytterligare användarinteraktion.
Förmåga till kryptostöld
Det komprometterade tillägget sökte aktivt efter installerade kryptoplånbokstillägg, inklusive populära plattformar som MetaMask, Coinbase Wallet och Phantom. När sådana upptäcktes försökte de injicerade skripten fånga upp plånboksaktivitet och samla in känslig information.
Genom att rikta in sig på plånboksdata och återställningsuppgifter kunde angripare få full kontroll över drabbade konton. När en seed-fras eller privat nyckel exponeras kan medel överföras omedelbart och oåterkalleligt.
Tillägget samlade även in inloggningsuppgifter och annan känslig formulärdata som angavs på webbplatser. Detta utökade konsekvenserna bortom kryptostöld och kunde exponera finansiell information och kontouppgifter i flera tjänster.
ClickFix-attacker med social ingenjörskonst
Utöver insamling av inloggningsuppgifter levererade komprometteringen av QuickLens Chrome-tillägget ClickFix-liknande attackmeddelanden. Användare möttes av falska uppdateringsnotiser för webbläsaren eller Google som injicerades direkt i de webbplatser de besökte.
Dessa vilseledande meddelanden uppmanade användare att köra kommandon eller ladda ner skadliga filer. Metoden bygger på övertygande visuella element som framstår som legitima, vilket ökar sannolikheten att användare följer instruktionerna.
När den sekundära nyttolasten kördes kunde attacken eskalera bortom webbläsarnivån. Den flerstegsbaserade metoden kombinerade teknisk exploatering med social manipulation för att maximera effekten.
Googles åtgärder och användarrekommendationer
Efter att forskare rapporterat den skadliga aktiviteten tog Google bort QuickLens från Chrome Web Store. Chrome inaktiverade automatiskt tillägget för drabbade användare. Att enbart ta bort tillägget garanterar dock inte att känslig information förblir säker.
Användare som installerat det komprometterade tillägget bör genomföra en fullständig systemskanning med pålitlig säkerhetsprogramvara. De bör också återställa lösenord till viktiga konton och flytta kryptotillgångar till en ny plånbok med en ny återställningsfras.
Eftersom tillägget hade djup åtkomst till webbläsardata kan lagrade inloggningsuppgifter kräva förebyggande uppdateringar.
Slutsats
Komprometteringen av QuickLens Chrome-tillägget visar hur webbläsartillägg kan bli kraftfulla spridningskanaler för skadlig kod efter en skadlig uppdatering. Angripare använde tillägget för att kringgå webbläsarskydd, stjäla kryptouppgifter och genomföra ClickFix-attacker. Användare bör begränsa tilläggsbehörigheter, bevaka ägarförändringar och ta bort oanvända tillägg för att minska risken för liknande hot i framtiden.
0 svar till ”QuickLens Chrome-tillägg komprometterat och möjliggör kryptostöld”