Вредоносное расширение QuickLens для браузера Chrome, позиционировавшее себя как инструмент для поиска через Google Lens, было удалено из официального магазина после обнаружения его зловредной активности. Изначально легитимный инструмент был скомпрометирован, превратившись в канал для распространения опасного ПО.
Эксперты по кибербезопасности выявили, что обновленная версия расширения содержала скрытый код, предназначенный для кражи криптовалюты с кошельков пользователей. Атака, получившая название ClickFix, использовала сложный механизм подмены транзакций в веб-приложениях крипто-бирж и кошельков. Это наглядно демонстрирует, что даже безопасность блокчейна может быть поставлена под угрозу через уязвимости в стороннем софте.
Атака начиналась с классического фишинга — пользователей могли обманом заставить установить это расширение или оно попадало в систему после взлома аккаунта разработчика. После установки вредоносное ПО активировалось и начинало мониторить действия в браузере, выискивая данные для доступа к финансовым сервисам.
Особую опасность представлял механизм эксплуатации, который можно сравнить с использованием 0-day уязвимости, но на уровне прикладного ПО. Расширение ждало момента, когда пользователь инициирует перевод средств, чтобы незаметно подменить адрес получателя в буфере обмена или в интерфейсе подтверждения операции. Таким образом, средства уходили на контролируемые злоумышленниками адреса.
Данный инцидент привел к потенциальной утечке данных для тысяч пользователей, установивших это расширение. Под угрозой оказались не только пароли и сессии, но и приватные ключи от кошельков, что в мире цифровых активов равносильно потере всех средств. Угроза ransomware в данном случае была неактуальна, так как целью была прямая и скрытая кража.
Специалисты настоятельно рекомендуют пользователям проверить список установленных расширений и немедленно удалить QuickLens, если он присутствует. Также критически важно проверять разрешения, которые запрашивают дополнения, и устанавливать только ПО от проверенных разработчиков. Регулярный аудит установленного софта — базовый элемент личной кибербезопасности.
Этот случай подчеркивает растущую изощренность кибератак, где целью становится не массовое заражение, а точечная и высокодоходная кража. Злоумышленники все чаще атакуют цепочки поставок легитимного программного обеспечения, чтобы получить доступ к доверенной аудитории. Постоянная бдительность и использование аппаратных кошельков для крупных сумм становятся необходимостью.
Индустрия продолжает борьбу с подобными угрозами, но ответственность лежит и на конечных пользователях. Простые меры предосторожности, такие как отказ от установки непроверенных расширений и использование двухфакторной аутентификации, значительно снижают риски. Общая безопасность цифровой среды зависит от осознанности каждого ее участника.
