Популярно разширение за браузъра Chrome, QuickLens – Search Screen with Google Lens, беше премахнато от Chrome Web Store, след като се установи, че е било компрометирано и използвано за разпространение на зловреден код, ClickFix атаки и кражба на крипто активи от хиляди потребители.

Разширението първоначално е създадено с легитимна цел – да позволява търсене чрез Google Lens директно от браузъра. С времето достига около 7 000 активни потребители и дори получава „featured“ значка от Google, което допълнително повишава доверието към него.

Как легитимно разширение се превръща в зловредно

На 17 февруари 2026 г. е пусната версия 5.8 на QuickLens, която съдържа зловредни скриптове. Малко преди това изследователи от Annex установяват, че разширението е сменило собственика си, след като е било обявено за продажба в ExtensionHub – пазар за браузърни разширения.

Новият собственик е регистриран като „LLC Quick Lens“ с имейл support@doodlebuggle.top и неясна политика за поверителност, хоствана на почти нефункциониращ домейн. Само две седмици по-късно към потребителите е разпространен зловредният ъпдейт.

Технически детайли: как работи атаката

Версия 5.8 изисква нови разрешения, включително declarativeNetRequestWithHostAccess и webRequest. В пакета е добавен файл rules.json, който премахва ключови защитни HTTP хедъри като Content-Security-Policy (CSP), X-Frame-Options и X-XSS-Protection от всички зареждани страници.

Това позволява изпълнение на злонамерен JavaScript дори в сайтове, които по принцип блокират подобно поведение.

Разширението установява връзка с C2 сървър api.extensionanalyticspro[.]top, генерира постоянен UUID, определя държавата на жертвата чрез trace endpoint на Cloudflare и на всеки пет минути изтегля нови инструкции.

ClickFix атаки и фалшиви Google Update съобщения

Множество потребители сигнализират в Reddit за фалшиви Google Update изскачащи прозорци, появяващи се на всеки сайт.

При Windows системи фалшивият ъпдейт води до изтегляне на зловреден файл googleupdate.exe, който стартира скрит PowerShell код и комуникира с външни сървъри за допълнителни payload-и.

Кражба на крипто портфейли и чувствителни данни

Един от зловредните „агенти“ проверява дали в браузъра са инсталирани крипто портфейли като MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Backpack, Brave Wallet, Exodus, Binance Chain Wallet и WalletConnect.

При наличие на такъв портфейл се прави опит за кражба на seed фрази, активност и идентификационни данни, което позволява пълен контрол и източване на средствата. Допълнителни скриптове извличат логин данни, платежна информация, съдържание на Gmail пощи, Facebook Business Manager акаунти и данни за YouTube канали.

Реакцията на Google и какво да направят потребителите

Google вече е премахнал QuickLens от Chrome Web Store, а Chrome автоматично го деактивира и маркира като зловредно. Това не е първият подобен случай – миналия месец Huntress разкри разширение, използвано за ClickFix атаки с инсталация на ModeloRAT.

Потребителите трябва незабавно:

• да премахнат разширението

• да сканират системата си за зловреден код

• да сменят всички пароли, съхранявани в браузъра

• да преместят крипто активите си в нов портфейл с нова seed фраза

Случаят с QuickLens показва колко опасно може да бъде прехвърлянето на собственост върху популярни браузърни разширения, когато новият притежател използва вече изграденото доверие като входна точка за масови атаки.

Дори официалните магазини и „featured“ значките не са гаранция за сигурност, когато веригата на доверие бъде компрометирана.