QuickLens Chrome 扩展窃取 crypto，展示 ClickFix 攻击

Source: Bleeping Computer

背景

• 目的: 允许用户直接在浏览器中运行 Google Lens 搜索。
• 用户基数: 大约 7,000 名用户。
• 认可: 曾获得 Google 的 Featured badge。

妥协详情

• 恶意发布日期： 2026年2月17日
• 版本： 5.8
• 恶意行为：
  • 引入了 ClickFix 攻击。
  • 实现了 信息窃取 功能，旨在从用户处提取加密相关数据。

可视化参考

如果您已安装此扩展，请立即将其移除并运行可信赖的反恶意软件扫描。

恶意 QuickLens 扩展

安全研究员在 Annex 首次报告 中指出，该扩展在被列入 ExtensionHub（一个开发者出售浏览器扩展的市场）后，所有权最近发生了变更。

Annex 表示，在 2026 年 2 月 1 日，所有者更改为 support@doodlebuggle.top，隶属于 “LLC Quick Lens”，并在一个几乎无法正常使用的域名上发布了新的隐私政策。仅两周后，恶意更新便推送给用户。

Annex 的分析显示，5.8 版请求了新的浏览器权限，包括 declarativeNetRequestWithHostAccess 和 webRequest。它还包含了一个 rules.json 文件，剥离了浏览器安全头——如 Content‑Security‑Policy (CSP)、X‑Frame‑Options 和 X‑XSS‑Protection——在所有页面和框架上。这些头部通常会让在网站上运行恶意脚本变得更困难。

该更新还引入了与位于 api.extensionanalyticspro.top 的指挥控制（C2）服务器的通信。根据 Annex，扩展：

• 生成了一个持久的 UUID，
• 通过 Cloudflare 的 trace 接口指纹化受害者的国家，
• 识别浏览器和操作系统，
• 每五分钟向 C2 服务器轮询一次指令。

BleepingComputer 本周在看到大量用户报告每个访问的网页都弹出假冒 Google 更新提示后，注意到了该扩展：

• [1]
• [2]

“它在我访问的每个站点都会出现，我以为是因为 Chrome 没有更新，但即使更新后仍然出现，”一位 Reddit 用户写道。

“当然我不会在运行框中执行它复制到剪贴板的代码，但它在每个站点都出现，导致我无法与任何内容交互。”

BleepingComputer 的分析显示，扩展连接到了一个 C2 端点：

https://api.extensionanalyticspro.top/extensions/callback?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto

它在该端点获取了一组恶意 JavaScript 负载。这些负载随后在每次页面加载时通过 Annex 所描述的 “1×1 GIF 像素 onload 技巧” 执行。

来源：BleepingComputer

由于扩展在所有访问的站点上剥除了 CSP 头部，这段内联 JavaScript 即使在通常会阻止它的站点上也能执行。

第一个负载会联系 google-update.icu，从那里获取额外的负载以显示假冒的 Google 更新提示。点击更新按钮会触发 ClickFix 攻击，诱导用户在其计算机上运行代码。

来源：Reddit

对于 Windows 用户，这导致下载了一个名为 googleupdate.exe 的恶意可执行文件（VirusTotal 分析），该文件使用 “湖北大鹅知道食品科技有限公司” 的证书签名。

执行后，恶意软件启动了一个隐藏的 PowerShell 命令，该命令生成第二个 PowerShell 实例以使用自定义 “Katzilla” 用户代理连接到 drivers.solutions/META-INF/xuoa.sys。响应被管道传递给 Invoke‑Expression 执行。等到 BleepingComputer 分析这些负载时，二阶段 URL 已不再提供恶意内容。

C2 交付的另一段恶意 JavaScript “代理” 被用于窃取加密货币钱包和凭据。扩展检测到了以下钱包的存在……

如果被发现，尝试窃取活动记录和种子短语：

• MetaMask
• Phantom
• Coinbase Wallet
• Trust Wallet
• Solflare
• Backpack
• Brave Wallet
• Exodus
• Binance Chain Wallet
• WalletConnect
• Argon

额外的脚本捕获了登录凭证、支付信息以及其他敏感表单数据。进一步的负载抓取了 Gmail 收件箱内容，提取了 Facebook Business Manager 广告账户数据，并收集了 YouTube 频道信息。

对已下架的 Chrome 扩展页面的审查声称，macOS 用户被 AMOS（Atomic Stealer） 信息窃取器锁定。BleepingComputer 尚未能够独立验证这些说法。

Google 随后已将 QuickLens 从 Chrome 网上应用店移除，Chrome 现在会自动为受影响的用户禁用该扩展。

来源：BleepingComputer

建议

• 删除 “QuickLens – Search Screen with Google Lens” 扩展程序，彻底移除。
• 使用 信誉良好的反恶意软件对设备进行扫描。
• 重置 浏览器中存储的所有凭据的密码。
• 如果您使用了上述任何加密货币钱包，请将资金转移到新钱包。

此扩展并非首次被用于 ClickFix 攻击。上个月，Huntress 发现了一个浏览器扩展程序，它**故意导致浏览器崩溃**，随后显示伪造的修复方案，安装了 ModeloRAT 恶意软件。

![](https://www.bleepstatic.com/c/t/tines-in-art-square.jpg)

IT基础设施的未来已经到来

Modern IT infrastructure moves faster than manual workflows can handle.

在这本新的 Tines 指南中，您将了解您的团队可以如何：

• 减少隐藏的人工延迟
• 通过自动响应提升可靠性
• 在您已使用的工具之上构建并扩展智能工作流。