Vor ein paar Tagen wurde ein Fall erkannt, dass erinnert, wie zerbrechlich das Browser-Erweiterung-Ökosystem sein kann: eine Erweiterung für Chrome namens "QuickLens - Such-Bildschirm mit Google Lens" wurde aus dem Chrome Web Store entfernt, nachdem ein bösartiges Update gestartet, Code zu stehlen Anmeldeinformationen und Angriff Kryptomoneda Geldbörsen.
QuickLens wurde als praktisches Werkzeug geboren, um mit Google Lens direkt aus dem Browser zu suchen und kam, um einige tausend Benutzer zusammenzubringen; es erschien sogar hervorragend im Chrome-Shop. Jedoch, nach einem Wechsel der Hände auf Ihr Eigentum - die Erweiterung wurde auf dem Verkauf in einem Drittanbieter-Markt und, nach Forschern, wurde es von einem Konto verwaltet, das mit dem Post-Support @ doodlebuggle verbunden. top unter einem nicht überzeugenden kommerziellen Namen - eine spätere Version eingebauten feindlichen Code, der die Erweiterung in einen Angriffsvektor transformierte.
Die erste öffentliche Analyse dieses Manövers wurde vom Sicherheitsteam von Anhang veröffentlicht., die dokumentiert, wie das Update neue und gefährliche Berechtigungen eingeführt, und wie eine Regeldatei hinzugefügt wurde, die Sicherheits-Header aus den Seiten entfernt (einschließlich Content-Security-Policy, X-Frame-Optionen und X-XSS-Schutz). Sie können den technischen Anhang hier lesen: Annex.security / blog / pixel-perfect /.
Die Kombination aus erweiterten Genehmigungen und das Löschen dieser Header erlaubte es, Skripte, die von einem Befehls- und Steuerserver empfangen wurden, auf praktisch jeder Seite auszuführen, die die Opfer besuchten. Laut der Untersuchung generierte die Erweiterung eine persistente Kennung für jeden infizierten Browser, erhielt Informationen über das Land des Nutzers (mit öffentlichen Endpunkten) und konsultierte den bösartigen Server alle fünf Minuten für Anweisungen.
Eine anschließende journalistische Analyse der BlepingComputer Er beschrieb ausführlicher die Arten von schädlichen Belastungen, die die Erweiterung heruntergeladen und ausgeführt. Einer der Tricks verwendet wurde, um ein 1x1 Pixel-Bild einzufügen, dessen Onload-Event Inline-Code auf der Seite lief - eine Technik, die, kombiniert mit der Entfernung von CSP, erlaubt, Steuerungen zu entfernen, die normalerweise injizierte Skripte blockieren.
Unter den Belastungen, die der schädliche Server verteilt war eine, die eine Domain kontaktiert, die simuliert, um ein Google-Update zu sein und zeigte eine falsche "Google Update"-Benachrichtigung. Diese Mitteilung war nicht nur ärgerlich Werbung: durch Drücken auf sie wurde der Benutzer Anweisungen gegeben, um eine Art "Verifikation" zu führen, die tatsächlich zum Download eines ausführbaren für Windows namens googleupdate.ex führte. Die Datei wurde auf Plattformen wie VirusTotal wo sein Artefakt registriert wurde.
Diese binäre, nach den gefundenen Spuren, gestartet PowerShell-Befehle im Hintergrund, die versucht, eine zweite Komponente von einer anderen URL wiederherzustellen und führen Sie es direkt im Speicher, eine klassische Technik, um Spuren auf Festplatte zu vermeiden. Auf der anderen Seite wurde ein weiteres Skript, das vom Befehls- und Steuerserver geliefert wurde, speziell auf Kryptomoneda-Verbraucher ausgerichtet: es entdeckte beliebte Erweiterungen und Portfolios (MetaMask, Phantom, Coinbase Wallet, Trust Wallet u.a.), mit der Absicht, Saatgutphrasen, private Schlüssel und Aktivität zu leeren Geldbeuteln zu erfassen.
Der Umfang war nicht auf Kryptofremden Austausch beschränkt: Module wurden gemeldet, um E-Mails, Werbe-Account-Daten auf Facebook und sogar YouTube-Kanal-Informationen zu extrahieren. Das Erweiterungsblatt erwähnte auch ein mögliches Ziel für macOS durch einen als AMOS bekannten Infostealer, obwohl dieser Teil nach den Berichten nicht unabhängig bestätigt werden konnte.
Angesichts der Beweise, Google entfernt QuickLens aus dem Speicher und Chrome begann automatisch deaktivieren die Erweiterung in betroffenen Browsern. Diejenigen, die es installiert haben, müssen davon ausgehen, dass ihr Team möglicherweise beeinträchtigt wurde.
Wenn Sie QuickLens installiert haben, gibt es konkrete Schritte, die Sie so schnell wie möglich tun müssen.. Zuerst, es eliminiert die Erweiterung von Chrome Erweiterungsmanagement - Google veröffentlicht Anweisungen, wie es zu tun auf seiner offiziellen Unterstützung: support.google.com / chrom / ansher / 187443. Dann eine vollständige Analyse mit einem vertrauenswürdigen Antivirus oder Antimalware durchführen; Werkzeuge wie Malharebytes Sie bieten oft Scans, die Artefakte von solchen Kampagnen erkennen können. Ändern Sie die im Browser gespeicherten Passwörter und aktivieren Sie die Überprüfung in zwei Schritten auf Ihren empfindlichsten Konten.
Wenn Sie ein Benutzer von einem der genannten Portfolios waren, denken Sie, dass der Samensatz hätte beeinträchtigt werden können. Am schwierigsten ist es, die Mittel in neue Richtungen zu bewegen, die von einer Geldbörse erzeugt wurden, die die kompromittierten Schlüssel nicht verwendet hat., vorzugsweise mit einem physischen Portfolio (Hardware Walk) wenn der Betrag es rechtfertigt. Sehen Sie die Sicherheitsempfehlungen Ihres Portfolioanbieters für die genauen Schritte zu folgen; zum Beispiel hält MetaMask Sicherheitsführer, die Ihnen helfen können, den Schutz Ihrer Vermögenswerte zurückzugewinnen: metamask.io - sicherheit.
Dieser Vorfall zeigt wieder mehrere strukturelle Probleme: die Leichtigkeit, mit der legitime Erweiterungen Eigentum ändern können, den Verkauf von Erweiterungen in Sekundärmärkten und die hohe Leistung, die Browser-Berechtigungen haben, wenn für schädliche Zwecke verwendet. In vielen Fällen brauchen Angreifer keine ausgeklügelte Kryptographie zu brechen: Es genügt, den Benutzer zu täuschen, um ein betrügerisches Update zu führen oder seinen Samensatz zu liefern.
Um das Risiko in Zukunft zu reduzieren, ist es notwendig, die Erweiterungen, die Sie installieren, ihre Anzahl zu begrenzen und die von bekannten Entwicklern vorzuziehen. Es wird auch empfohlen, regelmäßig die Genehmigungen zu überprüfen, die jede Erweiterung fordert und diejenigen zu entfernen, die einen breiten Zugang ohne einen klaren Grund beantragen. Die Politiken Chrome Web Store sie existieren, um den Benutzer zu schützen, aber sie sind nicht unfehlbar: Überwachung und individuelle Vorsicht bleiben unerlässlich.
Kurz gesagt, QuickLens zog von einem nützlichen Werkzeug zu einer echten Gefahr nach einer Änderung der Kontrolle und einem schädlichen Update. Googles Beseitigung und öffentliche Analyse haben die Kampagne in gewissem Maße gestoppt, aber die Konsequenzen für betroffene Nutzer können ernst sein. Wenn Sie ein Erweiterungsbenutzer waren: Entfernen Sie ihn, Scannen Sie Ihren Computer, Ändern Sie Passwörter und, wenn Sie cryptomonedas Laufwerk, übernehmen Sie die Möglichkeit, dass die Schlüssel kompromittiert sind und verschieben Sie Ihr Geld in ein sicheres Portfolio.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...