Chrome 扩展 QuickLens 窃取加密货币并实施 ClickFix 攻击

HackerNews 编译，转载请注明出处：

名为 “QuickLens - Search Screen with Google Lens” 的 Chrome 扩展已被从 Chrome 应用商店下架，该扩展遭入侵后推送恶意软件，并试图窃取数千名用户的加密货币。

QuickLens 最初是一款允许用户在浏览器中直接使用 Google Lens 搜索的 Chrome 扩展。该扩展用户量约达 7000，并曾获得 Google 官方推荐标识。

但在 2026 年 2 月 17 日，该扩展发布了 5.8 新版本，其中包含恶意脚本，可实施 ClickFix 攻击并窃取用户信息。

恶意 QuickLens 浏览器扩展

Annex 安全研究人员首次报告称，该扩展在开发者交易平台 ExtensionHub 出售后，近期已更换所有者。

Annex 表示，2026 年 2 月 1 日，所有者变更为 support@doodlebuggle.top，所属实体为 “LLC Quick Lens”，新隐私政策托管在一个几乎无法使用的域名上。仅两周多后，恶意更新便推送给了用户。

Annex 分析显示，5.8 版本申请了新的浏览器权限，包括 declarativeNetRequestWithHostAccess 和 webRequest。

该版本还包含 rules.json 文件，可移除所有页面与框架中的浏览器安全头，包括 Content-Security-Policy (CSP)、X-Frame-Options 和 X-XSS-Protection。这些安全原本会增加在网站上运行恶意脚本的难度。

该更新还会与位于 api.extensionanalyticspro [.] top 的命令与控制（C2）服务器通信。据 Annex 称，该扩展生成持久 UUID，通过 Cloudflare 追踪接口获取受害者国家信息，识别浏览器与操作系统，随后每 5 分钟轮询 C2 服务器获取指令。

BleepingComputer 本周在看到大量用户反馈在所有访问页面均出现伪造 Google 更新提示后，注意到该扩展。

一名用户在 Reddit 求助称：“我访问的每个网站都弹出这个，我以为是 Chrome 没更新，但更新后依然出现。我当然不会在运行框里执行它复制到剪贴板的代码，但它每个网站都弹，导致我无法进行任何操作。”

BleepingComputer 对该扩展的分析显示，它会连接到 C2 服务器 https://api.extensionanalyticspro [.] top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto，并接收一组恶意 JavaScript 脚本。

这些载荷会在每次页面加载时执行，使用的技术被 Annex 称为 “1x1 GIF 像素 onload trick”。

恶意 JavaScript 载荷数组（来源：BleepingComputer）

由于该扩展移除了所有访问网站的 CSP 头，因此即使在通常会阻止内联 JavaScript 的网站上也能执行。

第一个载荷会连接 google-update [.] icu，获取额外载荷并显示伪造的 Google 更新提示。点击更新按钮会触发 ClickFix 攻击，诱导用户在电脑上运行代码以完成验证。

导致 ClickFix 攻击的伪造 Google 更新提示（来源：Reddit）

对于 Windows 用户，会下载名为 googleupdate.exe 的恶意可执行文件。

执行后，恶意软件启动隐藏 PowerShell 命令，再启动第二个 PowerShell 进程，使用自定义 “Katzilla” 用户代理连接 drivers [.] solutions/META-INF/xuoa.sys。响应内容通过管道传入 Invoke-Expression 执行。但在 BleepingComputer 分析载荷时，该第二阶段 URL 已不再提供恶意内容。

由 https://api.extensionanalyticspro [.] top C2 下发的另一个恶意 JavaScript “代理” 用于窃取加密货币钱包与凭据。

该扩展会检测是否安装了 MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Solflare、Backpack、Brave Wallet、Exodus、Binance Chain Wallet、WalletConnect、Argon 等加密货币钱包。若检测到，则会尝试窃取操作记录与助记词，用于劫持钱包并盗取资产。

另一个脚本会捕获登录凭据、支付信息及其他敏感表单数据。

其他载荷用于爬取 Gmail 收件箱内容、提取 Facebook Business Manager 广告账户数据、收集 YouTube 频道信息。

现已下架的该扩展页面评论称，macOS 用户会被投放 AMOS (Atomic Stealer) 信息窃取器。BleepingComputer 无法独立核实该说法。

Google 已将 QuickLens 从 Chrome 应用商店下架，Chrome 会自动为受影响用户禁用该扩展。

QuickLens 被 Chrome 禁用并标记为恶意软件（来源：BleepingComputer）

安装过 QuickLens - Search Screen with Google Lens 的用户应彻底卸载该扩展，扫描设备恶意软件，并重置浏览器中保存的所有密码。

若使用上述任一加密货币钱包，应将资金转移至新钱包。

该扩展并非首个用于 ClickFix 攻击的扩展。上月，Huntress 发现一款浏览器扩展会故意导致浏览器崩溃，随后显示伪造修复程序并安装 ModeloRAT 恶意软件。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文