Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware QuickLens – Suchbildschirm mit schädlicher Google...

QuickLens – Suchbildschirm mit schädlicher Google Lens-Erweiterung

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Die Browsererweiterung QuickLens – Search Screen with Google Lens wurde ursprünglich als praktisches Tool zur Suche von Bildschirmbildern, zur Übersetzung von Inhalten und zum Abruf von Produktinformationen über visuelle Suchanfragen beworben. Trotz ihres seriösen Erscheinungsbilds und ihrer Funktionalität entwickelte sich die Erweiterung letztendlich zu einer ernsthaften Bedrohung für die Cybersicherheit. Untersuchungen ergaben, dass die Software Schadcode enthielt, der sensible Informationen ausspionieren und ClickFix-Social-Engineering-Angriffe auf infizierte Systeme starten konnte.

Die Erweiterung hatte anfangs eine große Nutzerbasis und genoss hohes Vertrauen. Im Februar 2026 kam es jedoch zu einer entscheidenden Veränderung: Die Erweiterung wurde auf einem Marktplatz für Browsererweiterungen verkauft und von einem neuen Eigentümer übernommen, der unter der E-Mail-Adresse „support@doodlebuggle.top“ und dem Firmennamen LLC Quick Lens firmierte. Kurz nach der Übernahme wurde eine verdächtige Datenschutzerklärung eingeführt, gefolgt von der Veröffentlichung eines schädlichen Updates, das an alle Nutzer verteilt wurde.

Schädliches Update über offizielle Kanäle verbreitet

Da die Erweiterung bereits von Tausenden von Nutzern installiert war, verbreitete sich das schädliche Update rasant. Der automatische Update-Mechanismus des Chrome Web Stores lieferte die manipulierte Version direkt an bestehende Installationen, ohne dass eine weitere Nutzerinteraktion erforderlich war.

Die aktualisierte Version forderte weitreichende Browserberechtigungen an, die es ihr ermöglichten, das Surfverhalten zu überwachen und Website-Aktivitäten zu verändern. Diese Berechtigungen erlaubten es der Erweiterung, wichtige Sicherheitsvorkehrungen zu umgehen, die normalerweise von Websites getroffen werden. Schutzmechanismen, die schädliche Skripte blockieren, Website-Framing verhindern und bestimmte Angriffstechniken abwehren sollen, wurden deaktiviert. Dadurch wurde es für eingeschleusten Schadcode deutlich einfacher, auf jeder vom Opfer besuchten Seite ausgeführt zu werden.

Permanente Kommunikation mit der Führungs- und Kontrollinfrastruktur

Nach der Installation stellte die manipulierte Erweiterung eine Verbindung zu einem entfernten Command-and-Control-Server (C2-Server) her. Die Schadsoftware generierte für jeden infizierten Benutzer eine eindeutige Kennung und sammelte Umgebungsinformationen wie geografischen Standort, Browsertyp und Betriebssystem.

Die Erweiterung hielt die Verbindung zum Remote-Server aufrecht, indem sie alle fünf Minuten Anfragen sendete. Diese regelmäßigen Anfragen ermöglichten es den Angreifern, neue Anweisungen zu übermitteln, Schadsoftware zu aktualisieren oder weitere Angriffe auf kompromittierte Systeme einzuleiten.

ClickFix Social Engineering und gefälschte Update-Benachrichtigungen

Die bösartige Version von QuickLens setzte zudem aggressive Social-Engineering-Techniken ein. Sie war in der Lage, Skripte in jede vom Opfer besuchte Webseite einzuschleusen, wodurch gefälschte Google-Update-Benachrichtigungen angezeigt werden konnten.

Diese irreführenden Warnmeldungen waren so gestaltet, dass sie legitime Software-Update-Aufforderungen imitierten. Tatsächlich handelte es sich um einen ClickFix-Angriff, eine Technik, die Nutzer dazu verleitet, schädliche Befehle auszuführen oder zusätzliche Schadsoftware herunterzuladen. Indem die Angreifer die Warnmeldungen auf verschiedenen Websites einblendeten, erhöhten sie die Wahrscheinlichkeit, dass die Opfer der Aufforderung vertrauten und den schädlichen Anweisungen folgten.

Funktionen für Kryptowährungs-Wallets und Datendiebstahl

Eine der gefährlichsten Funktionen der kompromittierten Browsererweiterung bestand darin, Kryptowährungen und sensible Nutzerdaten auszuspionieren. Die eingebetteten Schadprogramme durchsuchten Browser nach installierten Kryptowährungs-Wallets und versuchten, vertrauliche Informationen wie Wallet-Seed-Phrasen, Anmeldedaten und sensible Formulardaten zu extrahieren.

Die Schadsoftware zielte gezielt auf die folgenden Kryptowährungs-Wallet-Plattformen ab:

  • Argon
  • Rucksack
  • Binance Chain Wallet
  • Brave Wallet
  • Coinbase Wallet
  • Exodus
  • MetaMask
  • Phantom
  • Solflare
  • Trust Wallet
  • WalletConnect

Neben dem Diebstahl von Kryptowährungen war die Erweiterung in der Lage, eine breite Palette sensibler Daten abzugreifen, die auf Webseiten eingegeben wurden. Dazu gehörten Anmeldedaten, Zahlungsinformationen und andere personenbezogene Daten, die über Webformulare übermittelt wurden.

Zugang zu Online-Konten und Geschäftsplattformen

Weitere Analysen ergaben, dass die schädliche Erweiterung auf mehrere weit verbreitete Online-Plattformen zugreifen und Informationen daraus extrahieren konnte. Diese Fähigkeiten erweiterten das Schadenspotenzial über einzelne Nutzer hinaus auf Unternehmen und Content-Ersteller.

Die Datenerfassungsmöglichkeiten umfassten:

  • Lesen von E-Mail-Daten in Gmail-Postfächern
  • Informationen zum Werbekonto aus dem Facebook Business Manager abrufen
  • Abrufen von Analyse- und Betriebsdaten von YouTube-Kanälen

Diese Funktionalität barg erhebliche Risiken für Organisationen, die Marketingkampagnen, Finanzkonten oder Online-Medienplattformen über betroffene Browser verwalteten.

Entfernung von Erweiterungen und Sicherheitsimplikationen

Nach Entdeckung der schädlichen Aktivität hat Google die Erweiterung „QuickLens – Suchbildschirm mit Google Lens“ aus dem Chrome Web Store entfernt und deaktiviert. Trotz dieser Maßnahme können Systeme, auf denen die Erweiterung zuvor installiert war, weiterhin gefährdet sein, falls die Software noch vorhanden ist.

Betroffene Nutzer sollten die Erweiterung umgehend deinstallieren und ihre Systeme auf mögliche Sicherheitslücken überprüfen. Änderungen der Zugangsdaten, Sicherheitsüberprüfungen der Wallet und Systemscans werden dringend empfohlen.

Der QuickLens-Vorfall verdeutlicht die wachsenden Sicherheitsrisiken von Browsererweiterungen. Selbst Software, die ursprünglich als legitimes Werkzeug gedacht war, kann zur Bedrohung werden, wenn der Eigentümer wechselt und schädliche Updates über offizielle Kanäle verbreitet werden. Dieser Fall zeigt, wie vertrauenswürdige Anwendungen missbraucht werden können, um Sicherheitsvorkehrungen zu umgehen, sensible Daten zu stehlen und groß angelegte Social-Engineering-Angriffe durchzuführen.

Im Trend

Am häufigsten gesehen

Wird geladen...