QuickLens: przejęte rozszerzenie Chrome kradło krypto i uruchamiało ataki ClickFix

securitybeztabu.pl 9 godzin temu

Wprowadzenie do problemu / definicja luki

Incydent z QuickLens – Search Screen with Google Lens to klasyczny przykład supply chain attack na ekosystem rozszerzeń przeglądarki: narzędzie, które wyglądało legalnie i miało realną bazę użytkowników, zostało przejęte (po zmianie właściciela) i zaktualizowane w sposób, który umożliwił dystrybucję złośliwych ładunków oraz kradzież danych – w tym danych umożliwiających przejęcie kryptowalut.

Kluczowy element tej historii to wykorzystanie ClickFix – techniki socjotechnicznej, w której ofiara jest nakłaniana do wykonania „czynności naprawczej” (np. uruchomienia polecenia lub „weryfikacji”), co w praktyce uruchamia etap infekcji.

W skrócie

  • QuickLens miał ok. 7 tys. użytkowników i w pewnym momencie otrzymał choćby wyróżnienie w Chrome Web Store.
  • 17 lutego 2026 pojawiła się wersja 5.8, która zawierała złośliwe skrypty: komponent ClickFix oraz funkcje kradzieżowe (infostealer).
  • Rozszerzenie żądało nowych uprawnień i miało reguły modyfikujące ruch/odpowiedzi stron w sposób ułatwiający wstrzyknięcie złośliwego JS.
  • Google usunęło rozszerzenie ze sklepu, a Chrome automatycznie je wyłączało u użytkowników.

Kontekst / historia / powiązania

Najgroźniejsze w atakach na rozszerzenia przeglądarkowe jest to, iż nie musisz „czegoś podejrzanego instalować” w dniu ataku. W tym przypadku:

  • QuickLens startował jako funkcjonalny dodatek do wyszukiwania obrazem (Google Lens) w przeglądarce.
  • Po czasie doszło do zmiany właściciela (co jest częstym wektorem nadużyć: kupno „czystej” wtyczki z reputacją i użytkownikami, a potem podmiana aktualizacji).
  • Wersja 5.8 weszła jako „zwykła aktualizacja” — to dokładnie ten moment, w którym zaufanie użytkownika do dodatku działa przeciwko niemu.

Równolegle warto zauważyć, iż ClickFix to nie pojedyncza kampania, tylko rosnąca rodzina schematów socjotechnicznych. Microsoft i Kaspersky opisują, jak atakujący modyfikują „wabiki” (fałszywe CAPTCHA, „naprawa błędu”, „weryfikacja”), żeby użytkownik sam uruchomił etap infekcji.

Analiza techniczna / szczegóły luki

1. Co zmieniła złośliwa aktualizacja

Z opisu analizy wynika, iż wersja 5.8:

  • poprosiła o dodatkowe uprawnienia, m.in. związane z przechwytywaniem/obróbką żądań oraz regułami dostępu hostów (istotne, bo to rozszerza realny „zasięg” ataku do wielu witryn),
  • zawierała plik reguł, który usuwał nagłówki bezpieczeństwa z odpowiedzi stron, m.in. Content-Security-Policy (CSP), X-Frame-Options i X-XSS-Protection. To ważne, bo takie nagłówki utrudniają wstrzykiwanie i uruchamianie nieautoryzowanych skryptów.

W praktyce mówimy o scenariuszu, gdzie rozszerzenie:

  1. ma szerokie uprawnienia,
  2. potrafi osłabić ochronę po stronie przeglądarki/strony,
  3. może uruchamiać/ładować logikę ataku w kontekście stron, które odwiedza ofiara.

2. ClickFix jako mechanizm „domknięcia” infekcji

ClickFix w typowym ujęciu (wg Microsoft) zaczyna się od doprowadzenia ofiary do strony-wabika i przekonania jej do wykonania akcji, która skutkuje uruchomieniem złośliwego kodu (często przez polecenia/uruchomienie skryptu). To podejście jest skuteczne, bo część zabezpieczeń automatycznych gorzej radzi sobie z atakiem „wykonanym ręką użytkownika”.

CERT Orange Polska opisuje ClickFix jako socjotechnikę nastawioną na to, aby ofiara „sama się zainfekowała”, zwykle poprzez uruchomienie poleceń, które ściągają kolejne etapy (stealery/RAT-y).

Praktyczne konsekwencje / ryzyko

W tym incydencie zagrożenia były wielowarstwowe:

  • Kradzież kryptowalut: BleepingComputer wskazuje na próby przejęcia środków i rekomenduje migrację funduszy do nowego portfela, jeżeli korzystasz z wymienionych portfeli.
  • Eksfiltracja danych z usług webowych: wśród działań wymieniono m.in. scraping zawartości Gmail oraz pozyskiwanie danych z Facebook Business Manager i YouTube.
  • Ryzyko przejęcia kont (hasła/tokens/sesje): jeżeli rozszerzenie miało dostęp do przeglądarki i treści stron, konsekwencją mogą być kradzieże poświadczeń lub przejęcia sesji.
  • Zasięg i „cicha” dystrybucja: użytkownik nie musi nic ponownie instalować — wystarczy autoaktualizacja rozszerzenia.

Dodatkowo pojawiły się relacje, iż celem mogli być też użytkownicy macOS (w kontekście stealerów). W tym konkretnym fragmencie redakcja zaznaczała brak pełnej weryfikacji niezależnej.

Rekomendacje operacyjne / co zrobić teraz

Jeśli QuickLens był zainstalowany w Twoim środowisku (domowym lub firmowym), potraktuj to jak incydent:

  1. Usuń rozszerzenie i sprawdź, czy nie pozostały powiązane komponenty/profil przeglądarki.
  2. Wymuś reset haseł do kluczowych usług (priorytet: poczta, konta reklamowe, giełdy/portfele krypto, SSO) oraz rozważ unieważnienie sesji (log out from all devices).
  3. Skan stacji (EDR/AV) + przegląd mechanizmów persistence (autostart, LaunchAgents/LaunchDaemons na macOS, harmonogram zadań na Windows).
  4. Jeśli używasz krypto: przenieś środki do nowego portfela (nowy seed), zwłaszcza jeżeli używałeś portfela w przeglądarce na tej samej maszynie.
  5. Higiena rozszerzeń w firmie:
    • polityka allowlist (tylko zatwierdzone rozszerzenia),
    • monitoring zmian uprawnień (alert, gdy dodatek nagle żąda nowych permissions),
    • okresowe audyty rozszerzeń oraz telemetryka przeglądarek.

Różnice / porównania z innymi przypadkami

  • ClickFix zwykle kojarzy się z fałszywymi CAPTCHA i „instrukcjami naprawy” na stronach (często po wejściu z reklamy, phishingu lub na skompromitowaną witrynę). QuickLens pokazuje, iż ClickFix może być też dostarczany przez zaufany łańcuch aktualizacji (rozszerzenie), a nie tylko przez pojedynczy landing page.
  • W klasycznych kampaniach ClickFix finałem bywają stealery/RAT-y uruchamiane po komendzie użytkownika. CERT Orange i Microsoft wymieniają tę kategorię zagrożeń jako typowy skutek techniki.

Podsumowanie / najważniejsze wnioski

QuickLens to ostrzeżenie, że:

  • nawet „normalne” rozszerzenie z historią i użytkownikami może stać się złośliwe po zmianie właściciela i aktualizacji,
  • uprawnienia oraz możliwość manipulowania ruchem/nagłówkami bezpieczeństwa to czerwone flagi, które powinny uruchamiać alert w organizacji,
  • ClickFix dalej ewoluuje i działa dlatego, iż przenosi krytyczny krok infekcji na użytkownika (a więc poza część automatycznych barier).

Źródła / bibliografia

  1. BleepingComputer – opis incydentu QuickLens, daty, mechanika złośliwej aktualizacji, działania i rekomendacje. (BleepingComputer)
  2. Microsoft Security Blog – analiza łańcucha ataku ClickFix i powodów skuteczności tej techniki. (Microsoft)
  3. Kaspersky – warianty ClickFix i ewolucja „wabików” oraz metod dostarczania. (Kaspersky)
  4. CERT Orange Polska – ClickFix w praktyce (mechanika socjotechniki, konsekwencje, przykładowe łańcuchy infekcji). (CERT Orange)
  5. SC Media – przykłady kampanii ClickFix z fałszywymi CAPTCHA i kradzieżą danych/portfeli. (SC Media)
Idź do oryginalnego materiału
  1. Strona główna
  2. Wycieki
  3. QuickLens: przejęte rozszerzenie Chrome kradło krypto i uruchamiało ataki ClickFix

Powiązane

Wyciek danych w diagnostyce medycznej USA: ~140 tys. osób dotkniętych incydentem powiązanym z Catalyst RCM i grupą Everest

Wyciek danych w diagnostyce medycznej USA: ~140 tys. osób do...

5 dni temu
Francja mierzy się z wyciekami danych

Francja mierzy się z wyciekami danych

6 dni temu
Przy potwierdzaniu wieku w social mediach można paść ofiarą wycieku danych #shorts

Przy potwierdzaniu wieku w social mediach można paść ofiarą ...

2 tygodni temu
💘 Dlaczego warto zakochać się w szkoleniach SysOps/DevOps Polska?

💘 Dlaczego warto zakochać się w szkoleniach SysOps/DevOps Po...

2 tygodni temu
W social mediach można paść ofiarą wycieku danych #shorts

W social mediach można paść ofiarą wycieku danych #shorts

2 tygodni temu
Fałszywe „AI” rozszerzenia do Chrome z ponad 300 tys. instalacji kradną hasła i treści e-maili (kampania AiFrame)

Fałszywe „AI” rozszerzenia do Chrome z ponad 300 tys. instal...

2 tygodni temu
Największy atak w historii polskich sklepów internetowych. Jest przełom

Największy atak w historii polskich sklepów internetowych. J...

2 tygodni temu
Zatrzymano sprawcę ataku na polską infrastrukturę krytyczną

Zatrzymano sprawcę ataku na polską infrastrukturę krytyczną

2 tygodni temu

Polecane

Jak znaleźć tajną bazę szkolną Camp Sapper

Jak znaleźć tajną bazę szkolną Camp Sapper

3 miesięcy temu
ABW odkrywa operację przerzutu materiałów wybuchowych

ABW odkrywa operację przerzutu materiałów wybuchowych

3 miesięcy temu
„PROJEKT AQUILINE „

„PROJEKT AQUILINE „

4 miesięcy temu
„ODWRÓCONY „

„ODWRÓCONY „

4 miesięcy temu
OPERACJA RUBICON. „

OPERACJA RUBICON. „

4 miesięcy temu
Atak Pitbulla, czas reakcji Policji i prawo

Atak Pitbulla, czas reakcji Policji i prawo

5 miesięcy temu
Zamazane lub zaklejone numery tablic pojazdu ambasady RU

Zamazane lub zaklejone numery tablic pojazdu ambasady RU

5 miesięcy temu
ŚWIAT WYWIADU I TAJNYCH SLUŻB. „Nocny Wędrowiec „.

ŚWIAT WYWIADU I TAJNYCH SLUŻB. „Nocny Wędrowiec „.

7 miesięcy temu
Zakończenie starszych spraw funkcjonariusza ABW i wartownika SWW

Zakończenie starszych spraw funkcjonariusza ABW i wartownika...

7 miesięcy temu