QuickLens: przejęte rozszerzenie Chrome kradło krypto i uruchamiało ataki ClickFix

Wprowadzenie do problemu / definicja luki

Incydent z QuickLens – Search Screen with Google Lens to klasyczny przykład supply chain attack na ekosystem rozszerzeń przeglądarki: narzędzie, które wyglądało legalnie i miało realną bazę użytkowników, zostało przejęte (po zmianie właściciela) i zaktualizowane w sposób, który umożliwił dystrybucję złośliwych ładunków oraz kradzież danych – w tym danych umożliwiających przejęcie kryptowalut.

Kluczowy element tej historii to wykorzystanie ClickFix – techniki socjotechnicznej, w której ofiara jest nakłaniana do wykonania „czynności naprawczej” (np. uruchomienia polecenia lub „weryfikacji”), co w praktyce uruchamia etap infekcji.

W skrócie

• QuickLens miał ok. 7 tys. użytkowników i w pewnym momencie otrzymał choćby wyróżnienie w Chrome Web Store.
• 17 lutego 2026 pojawiła się wersja 5.8, która zawierała złośliwe skrypty: komponent ClickFix oraz funkcje kradzieżowe (infostealer).
• Rozszerzenie żądało nowych uprawnień i miało reguły modyfikujące ruch/odpowiedzi stron w sposób ułatwiający wstrzyknięcie złośliwego JS.
• Google usunęło rozszerzenie ze sklepu, a Chrome automatycznie je wyłączało u użytkowników.

Kontekst / historia / powiązania

Najgroźniejsze w atakach na rozszerzenia przeglądarkowe jest to, iż nie musisz „czegoś podejrzanego instalować” w dniu ataku. W tym przypadku:

• QuickLens startował jako funkcjonalny dodatek do wyszukiwania obrazem (Google Lens) w przeglądarce.
• Po czasie doszło do zmiany właściciela (co jest częstym wektorem nadużyć: kupno „czystej” wtyczki z reputacją i użytkownikami, a potem podmiana aktualizacji).
• Wersja 5.8 weszła jako „zwykła aktualizacja” — to dokładnie ten moment, w którym zaufanie użytkownika do dodatku działa przeciwko niemu.

Równolegle warto zauważyć, iż ClickFix to nie pojedyncza kampania, tylko rosnąca rodzina schematów socjotechnicznych. Microsoft i Kaspersky opisują, jak atakujący modyfikują „wabiki” (fałszywe CAPTCHA, „naprawa błędu”, „weryfikacja”), żeby użytkownik sam uruchomił etap infekcji.

Analiza techniczna / szczegóły luki

1. Co zmieniła złośliwa aktualizacja

Z opisu analizy wynika, iż wersja 5.8:

• poprosiła o dodatkowe uprawnienia, m.in. związane z przechwytywaniem/obróbką żądań oraz regułami dostępu hostów (istotne, bo to rozszerza realny „zasięg” ataku do wielu witryn),
• zawierała plik reguł, który usuwał nagłówki bezpieczeństwa z odpowiedzi stron, m.in. Content-Security-Policy (CSP), X-Frame-Options i X-XSS-Protection. To ważne, bo takie nagłówki utrudniają wstrzykiwanie i uruchamianie nieautoryzowanych skryptów.

W praktyce mówimy o scenariuszu, gdzie rozszerzenie:

1. ma szerokie uprawnienia,
2. potrafi osłabić ochronę po stronie przeglądarki/strony,
3. może uruchamiać/ładować logikę ataku w kontekście stron, które odwiedza ofiara.

2. ClickFix jako mechanizm „domknięcia” infekcji

ClickFix w typowym ujęciu (wg Microsoft) zaczyna się od doprowadzenia ofiary do strony-wabika i przekonania jej do wykonania akcji, która skutkuje uruchomieniem złośliwego kodu (często przez polecenia/uruchomienie skryptu). To podejście jest skuteczne, bo część zabezpieczeń automatycznych gorzej radzi sobie z atakiem „wykonanym ręką użytkownika”.

CERT Orange Polska opisuje ClickFix jako socjotechnikę nastawioną na to, aby ofiara „sama się zainfekowała”, zwykle poprzez uruchomienie poleceń, które ściągają kolejne etapy (stealery/RAT-y).

Praktyczne konsekwencje / ryzyko

W tym incydencie zagrożenia były wielowarstwowe:

• Kradzież kryptowalut: BleepingComputer wskazuje na próby przejęcia środków i rekomenduje migrację funduszy do nowego portfela, jeżeli korzystasz z wymienionych portfeli.
• Eksfiltracja danych z usług webowych: wśród działań wymieniono m.in. scraping zawartości Gmail oraz pozyskiwanie danych z Facebook Business Manager i YouTube.
• Ryzyko przejęcia kont (hasła/tokens/sesje): jeżeli rozszerzenie miało dostęp do przeglądarki i treści stron, konsekwencją mogą być kradzieże poświadczeń lub przejęcia sesji.
• Zasięg i „cicha” dystrybucja: użytkownik nie musi nic ponownie instalować — wystarczy autoaktualizacja rozszerzenia.

Dodatkowo pojawiły się relacje, iż celem mogli być też użytkownicy macOS (w kontekście stealerów). W tym konkretnym fragmencie redakcja zaznaczała brak pełnej weryfikacji niezależnej.

Rekomendacje operacyjne / co zrobić teraz

Jeśli QuickLens był zainstalowany w Twoim środowisku (domowym lub firmowym), potraktuj to jak incydent:

1. Usuń rozszerzenie i sprawdź, czy nie pozostały powiązane komponenty/profil przeglądarki.
2. Wymuś reset haseł do kluczowych usług (priorytet: poczta, konta reklamowe, giełdy/portfele krypto, SSO) oraz rozważ unieważnienie sesji (log out from all devices).
3. Skan stacji (EDR/AV) + przegląd mechanizmów persistence (autostart, LaunchAgents/LaunchDaemons na macOS, harmonogram zadań na Windows).
4. Jeśli używasz krypto: przenieś środki do nowego portfela (nowy seed), zwłaszcza jeżeli używałeś portfela w przeglądarce na tej samej maszynie.
5. Higiena rozszerzeń w firmie:
   • polityka allowlist (tylko zatwierdzone rozszerzenia),
   • monitoring zmian uprawnień (alert, gdy dodatek nagle żąda nowych permissions),
   • okresowe audyty rozszerzeń oraz telemetryka przeglądarek.

Różnice / porównania z innymi przypadkami

• ClickFix zwykle kojarzy się z fałszywymi CAPTCHA i „instrukcjami naprawy” na stronach (często po wejściu z reklamy, phishingu lub na skompromitowaną witrynę). QuickLens pokazuje, iż ClickFix może być też dostarczany przez zaufany łańcuch aktualizacji (rozszerzenie), a nie tylko przez pojedynczy landing page.
• W klasycznych kampaniach ClickFix finałem bywają stealery/RAT-y uruchamiane po komendzie użytkownika. CERT Orange i Microsoft wymieniają tę kategorię zagrożeń jako typowy skutek techniki.

Podsumowanie / najważniejsze wnioski

QuickLens to ostrzeżenie, że:

• nawet „normalne” rozszerzenie z historią i użytkownikami może stać się złośliwe po zmianie właściciela i aktualizacji,
• uprawnienia oraz możliwość manipulowania ruchem/nagłówkami bezpieczeństwa to czerwone flagi, które powinny uruchamiać alert w organizacji,
• ClickFix dalej ewoluuje i działa dlatego, iż przenosi krytyczny krok infekcji na użytkownika (a więc poza część automatycznych barier).

Źródła / bibliografia

1. BleepingComputer – opis incydentu QuickLens, daty, mechanika złośliwej aktualizacji, działania i rekomendacje. (BleepingComputer)
2. Microsoft Security Blog – analiza łańcucha ataku ClickFix i powodów skuteczności tej techniki. (Microsoft)
3. Kaspersky – warianty ClickFix i ewolucja „wabików” oraz metod dostarczania. (Kaspersky)
4. CERT Orange Polska – ClickFix w praktyce (mechanika socjotechniki, konsekwencje, przykładowe łańcuchy infekcji). (CERT Orange)
5. SC Media – przykłady kampanii ClickFix z fałszywymi CAPTCHA i kradzieżą danych/portfeli. (SC Media)