Ekstensi QuickLens Chrome mencuri kripto, menunjukkan serangan ClickFix

Ekstensi Chrome bernama “QuickLens – Layar Pencarian dengan Google Lens” telah dihapus dari Toko Web Chrome setelah disusupi untuk mendorong malware dan mencoba mencuri kripto dari ribuan pengguna.

QuickLens awalnya diterbitkan sebagai ekstensi Chrome yang memungkinkan pengguna menjalankan penelusuran Google Lens langsung di browser mereka. Ekstensi ini berkembang menjadi sekitar 7.000 pengguna dan, pada satu titik, menerima lencana unggulan dari Google.

Namun, pada 17 Februari 2026, versi baru 5.8 dirilis yang berisi skrip berbahaya yang memperkenalkan serangan ClickFix dan fungsi mencuri informasi bagi mereka yang menggunakan ekstensi tersebut.

Ekstensi QuickLens yang berbahaya

Peneliti keamanan di Annex pertama kali dilaporkan bahwa ekstensi tersebut baru saja berganti kepemilikan setelah terdaftar untuk dijual di ExtensionHub, pasar tempat pengembang menjual ekstensi browser.

Lampiran menyatakan bahwa pada tanggal 1 Februari 2026, pemiliknya berubah menjadi support@doodlebuggle.top di bawah “LLC Quick Lens”, dengan kebijakan privasi baru yang dihosting di domain yang hampir tidak berfungsi. Lebih dari dua minggu kemudian, pembaruan berbahaya dikirimkan ke pengguna.

Analisis Annex menunjukkan bahwa versi 5.8 meminta izin browser baru, termasuk declarativeNetRequestWithHostAccess dan webRequest.

Itu juga menyertakan file rule.json yang menghapus header keamanan browser, seperti Content-Security-Policy (CSP), X-Frame-Options, dan X-XSS-Protection, dari semua halaman dan frame. Header ini akan mempersulit menjalankan skrip berbahaya di situs web.

Pembaruan ini juga memperkenalkan komunikasi dengan server perintah dan kontrol (C2) di api.extensionanalyticspro[.]atas. Menurut Annex, ekstensi tersebut menghasilkan UUID yang persisten, mengambil sidik jari negara korban menggunakan titik akhir jejak Cloudflare, mengidentifikasi browser dan OS, dan kemudian melakukan survei ke server C2 setiap lima menit untuk mendapatkan instruksi.

BleepingComputer mempelajari tentang ekstensi ini minggu ini setelah melihat banyak pengguna[[1, 2]melaporkan peringatan Google Update palsu di setiap halaman web yang mereka kunjungi.

“Hal ini muncul di setiap situs yang saya kunjungi, yang saya lalui mungkin karena Chrome tidak diperbarui, namun bahkan setelah diperbarui, hal tersebut terus muncul,” kata seorang pengguna yang mencari bantuan di reddit.

“Tentu saja saya tidak akan menjalankan kode yang disalinnya di clipboard saya di kotak run tetapi kode tersebut terus muncul di setiap situs, sehingga mustahil untuk berinteraksi dengan apa pun.”

Analisis BleepingComputer terhadap ekstensi menunjukkan bahwa ekstensi tersebut terhubung ke server C2 di https://api.extensionanalyticspro[.]atas/ekstensi/panggilan balik?uuid=[uuid]&extension=kdenlnncndfnhkognokgfpabgkgehoddto, yang menerima serangkaian skrip JavaScript berbahaya.

Payload ini kemudian dieksekusi pada setiap pemuatan halaman menggunakan teknik yang digambarkan Annex sebagai “trik pemuatan piksel GIF 1×1”.

Karena ekstensi menghapus header CSP di semua situs yang dikunjungi, eksekusi JavaScript sebaris ini berfungsi bahkan di situs yang biasanya memblokirnya.

Payload pertama menghubungi pembaruan Google[.]icu, yang menerima muatan tambahan yang menampilkan permintaan Pembaruan Google palsu. Mengklik tombol perbarui akan menampilkan serangan ClickFix, yang meminta pengguna untuk melakukan verifikasi dengan menjalankan kode di komputer mereka.

Untuk pengguna Windows, hal ini menyebabkan pengunduhan executable berbahaya bernama “googleupdate.exe”[[Total Virus]yang ditandatangani dengan sertifikat dari “Hubei Da’e Zhidao Food Technology Co., Ltd.”

Setelah dieksekusi, malware meluncurkan perintah PowerShell tersembunyi yang menghasilkan instance PowerShell kedua untuk terhubung ke driver[.]solution/META-INF/xuoa.sys menggunakan agen pengguna “Katzilla” khusus.

Responsnya disalurkan ke Invoke-Expression untuk dieksekusi. Namun, saat BleepingComputer menganalisis muatannya, URL tahap kedua tidak lagi menyajikan konten berbahaya apa pun.

“Agen” JavaScript berbahaya lainnya yang dikirimkan oleh https://api.extensionanalyticspro[.]C2 teratas digunakan untuk mencuri dompet dan kredensial cryptocurrency.

Ekstensi ini akan mendeteksi jika MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Backpack, Brave Wallet, Exodus, Binance Chain Wallet, WalletConnect, dan dompet kripto Argon dipasang. Jika demikian, ia akan mencoba mencuri aktivitas dan frase awal, yang akan digunakan untuk membajak dompet dan mencuri aset mereka.

Skrip lain menangkap kredensial login, informasi pembayaran, dan data formulir sensitif lainnya.

Payload tambahan digunakan untuk mengikis isi kotak masuk Gmail, mengekstrak data akun iklan Manajer Bisnis Facebook, dan mengumpulkan informasi saluran YouTube.

Tinjauan terhadap halaman ekstensi Chrome yang sekarang dihapus mengklaim bahwa pengguna macOS menjadi sasaran pencuri info AMOS (Atomic Stealer). BleepingComputer belum dapat memverifikasi secara independen apakah klaim ini benar.

Google telah menghapus QuickLens dari Toko Web Chrome, dan Chrome kini secara otomatis menonaktifkannya untuk pengguna yang terpengaruh.

Pengguna yang memasang QuickLens – Layar Pencarian dengan Google Lens harus memastikan ekstensi tersebut dihapus sepenuhnya, memindai perangkat mereka dari malware, dan menyetel ulang sandi untuk kredensial apa pun yang disimpan di browser.

Jika Anda menggunakan salah satu dompet mata uang kripto yang disebutkan, Anda harus mentransfer dana Anda ke dompet baru.

Ekstensi ini bukan yang pertama digunakan dalam serangan ClickFix. Bulan lalu, Huntress menemukan ekstensi browser yang browser yang sengaja crash dan kemudian menampilkan perbaikan palsu yang menginstal malware ModeloRAT.