Egy gyanútlanul népszerűvé vált eszköz bukása
A QuickLens a felhasználók körében gyorsan népszerű lett: mintegy 7 000 fő telepítette, sőt, egyszer még a Google által kiemelt bővítményként is szerepelt. Idén február elején azonban tulajdonost váltott az ExtensionHub piactéren, ahol fejlesztők adnak-vesznek bővítményeket. Az új tulajdonos (support@doodlebuggle.top) gyanúsan hiányos adatvédelmi szabályzattal lépett színre, majd két héttel később egy minden eddiginél veszélyesebb, 5.8-as verziót adott ki.
Malware, ami mindenen áthatol
Az új verzió olyan, eddig soha nem kért jogosultságokat vezetett be, mint például a teljes internetforgalom figyelését. A bővítmény kifejezetten eltávolította a böngészők biztonsági fejléceit (mint a Content-Security-Policy), így a rosszindulatú JavaScript-kódok akadály nélkül futhattak minden meglátogatott oldalon.
Új kapcsolat jött létre egy távoli szerverrel (api.extensionanalyticspro.top), ahonnan ötpercenként újabb utasításokat kapott a kiegészítő, miközben folyamatosan figyelte az áldozat országát, böngészőjét és operációs rendszerét.
Kamu frissítés, valós kár
Rengeteg felhasználó panaszkodott az állandó, hamis Chrome-frissítési értesítésekről. Ezekben az üzenetekben azt kérték, hogy futtassanak le egy, a vágólapra másolt kódot, vagy töltsenek le egy “googleupdate.exe” nevű állományt, amely valószínűsíthetően trójai programot telepített. A futtatás rejtett PowerShell-parancsokat indított, amelyek még mélyebb fertőzést okoztak, bár az elemzés idejére a második fertőzési hullám forrása megszűnt működni.
Kriptotárcák és személyes adatok veszélyben
A QuickLens bővítmény felismerte a legismertebb kriptotárcákat (MetaMask, Coinbase Wallet, Trust Wallet, Exodus stb.), és a hozzájuk tartozó seed phrase-eket és aktivitási adatokat is ellopta, hogy kiürítse a tárcákat. További kártékony kódok lopták el a belépési adatokat, bankkártya-információkat, valamint a Gmail-, Facebook-hirdetési és YouTube-fiókadatokat is begyűjtötték. macOS-felhasználók körében az AMOS (Atomic Stealer) kártevőről is beszámoltak.
Mit tegyen, aki fertőzött?
A Google azóta eltávolította a QuickLens-t a Chrome áruházából, és automatikusan letiltotta az érintett böngészőkben. Ha valaki használta a QuickLens – Search Screen with Google Lens bővítményt, sürgősen törölje azt, víruskeresővel vizsgálja át a gépét, és változtasson minden böngészőben tárolt jelszót. Ha valamelyik felsorolt kriptotárcát használta, a vagyonát azonnal utalja át új tárcába.
Emiatt különösen érdemes óvatosnak lenni, hiszen nem ez az első eset, hogy elterjedt böngésző-kiegészítőket használnak ki ClickFix típusú támadásokhoz: tavaly például egy másik bővítmény a felhasználók sütijeit lopta el, majd a ModeloRAT kártevőt telepítette.
