QuickLens - Écran de recherche avec extension malveillante Google Lens
L'extension de navigateur QuickLens - Search Screen with Google Lens a été initialement présentée comme un outil pratique pour la recherche d'images à l'écran, la traduction de contenu et l'obtention d'informations sur les produits par le biais de requêtes visuelles. Malgré son apparence et ses fonctionnalités légitimes, l'extension s'est finalement révélée être une grave menace pour la cybersécurité. Les enquêtes ont révélé que le logiciel contenait des scripts malveillants capables de collecter des informations sensibles et de lancer des attaques d'ingénierie sociale de type ClickFix sur les systèmes infectés.
Initialement, l'extension bénéficiait d'une large base d'utilisateurs et jouissait d'une grande confiance. Cependant, un changement majeur est survenu en février 2026, lorsque l'extension a été vendue sur une plateforme de vente d'extensions pour navigateurs et reprise par un nouveau propriétaire opérant sous l'adresse e-mail « support@doodlebuggle.top » et le nom de société Quick Lens LLC. Peu après l'acquisition, une politique de confidentialité suspecte a été mise en place, suivie de la diffusion d'une mise à jour malveillante auprès de tous les utilisateurs.
Table des matières
Mise à jour malveillante diffusée par les canaux officiels
L'extension étant déjà installée par des milliers d'utilisateurs, la mise à jour malveillante s'est propagée rapidement. Le mécanisme de mise à jour automatique du Chrome Web Store a directement installé la version compromise sur les installations existantes, sans intervention supplémentaire de l'utilisateur.
La version mise à jour exigeait des autorisations étendues du navigateur, lui permettant de surveiller le comportement de navigation et de modifier l'activité des sites web. Ces autorisations permettaient à l'extension de supprimer des protections de sécurité essentielles normalement mises en place par les sites web. Les mécanismes de protection conçus pour bloquer les scripts malveillants, empêcher l'intégration de sites dans des cadres et atténuer certaines techniques d'attaque étaient désactivés, facilitant considérablement l'exécution de code malveillant injecté sur n'importe quelle page visitée par la victime.
Communication permanente avec l’infrastructure de commandement et de contrôle
Après son installation, l'extension compromise a établi une communication avec un serveur de commande et de contrôle (C2) distant. Le logiciel malveillant a généré un identifiant unique pour chaque utilisateur infecté et a collecté des informations environnementales telles que la localisation géographique, le type de navigateur et le système d'exploitation.
L'extension maintenait une communication permanente avec le serveur distant en envoyant des requêtes toutes les cinq minutes. Ces échanges réguliers permettaient aux attaquants de transmettre de nouvelles instructions, de mettre à jour les charges utiles malveillantes ou de lancer des actions d'attaque supplémentaires sur les systèmes compromis.
ClickFix : Ingénierie sociale et fausses alertes de mise à jour
La version malveillante de QuickLens mettait également en œuvre des techniques d'ingénierie sociale agressives. Elle était capable d'injecter des scripts dans n'importe quelle page web visitée par la victime, ce qui lui permettait d'afficher de fausses notifications de mise à jour Google.
Ces alertes trompeuses étaient conçues pour imiter les invites légitimes de mise à jour logicielle. En réalité, elles faisaient partie d'une attaque de type ClickFix, une technique qui incite les utilisateurs à exécuter des commandes malveillantes ou à télécharger des logiciels malveillants supplémentaires. En diffusant ces alertes sur plusieurs sites web, les attaquants augmentaient la probabilité que les victimes fassent confiance à l'invite et suivent les instructions malveillantes.
Portefeuille de cryptomonnaies et capacités de protection contre le vol de données
L'une des fonctions les plus dangereuses de l'extension compromise consistait à cibler les actifs en cryptomonnaie et les données sensibles des utilisateurs. Les scripts malveillants intégrés analysaient les navigateurs à la recherche de portefeuilles de cryptomonnaie installés et tentaient d'extraire des informations confidentielles telles que les phrases de récupération, les identifiants d'authentification et les données sensibles des formulaires.
Le logiciel malveillant ciblait spécifiquement les plateformes de portefeuilles de cryptomonnaies suivantes :
- Argon
- Sac à dos
- Portefeuille Binance Chain
- Portefeuille Brave
- Portefeuille Coinbase
- Exode
- MetaMask
- Fantôme
- Solflare
- Trust Wallet
- WalletConnect
Outre le vol de cryptomonnaies, l'extension était capable de collecter un large éventail de données sensibles saisies sur les sites web. Cela comprenait les identifiants de connexion, les informations de paiement et d'autres données personnelles transmises via des formulaires web.
Accès aux comptes en ligne et aux plateformes professionnelles
Une analyse plus approfondie a révélé que l'extension malveillante pouvait accéder à des informations provenant de plusieurs plateformes en ligne largement utilisées et les extraire. Ces capacités ont étendu les risques de dommages non seulement aux particuliers, mais aussi aux entreprises et aux créateurs de contenu.
Les capacités de collecte de données comprenaient :
- Lecture des données des e-mails dans les boîtes de réception Gmail
- Collecte des informations du compte publicitaire auprès de Facebook Business Manager
- Récupération des données analytiques et opérationnelles des chaînes YouTube
Cette fonctionnalité a engendré des risques importants pour les organisations gérant des campagnes marketing, des comptes financiers ou des plateformes médias en ligne via les navigateurs concernés.
Suppression des extensions et implications en matière de sécurité
Suite à la découverte de cette activité malveillante, Google a supprimé et désactivé l'extension QuickLens - Search Screen with Google Lens du Chrome Web Store. Malgré cette mesure, les systèmes sur lesquels l'extension était installée peuvent rester vulnérables si le logiciel est toujours présent.
Les utilisateurs concernés doivent immédiatement désinstaller l'extension et vérifier que leur système n'est pas compromis. Il est fortement recommandé de modifier leurs identifiants, de contrôler la sécurité de leur portefeuille et d'effectuer une analyse complète du système.
L'incident QuickLens met en lumière les risques de sécurité croissants liés aux extensions de navigateur. Même un logiciel initialement légitime peut devenir une menace en cas de changement de propriétaire et de diffusion de mises à jour malveillantes via les canaux de mise à jour officiels. Ce cas illustre comment des applications de confiance peuvent être détournées pour contourner les contrôles de sécurité, voler des données sensibles et mener des attaques d'ingénierie sociale à grande échelle.
