Die Chrome-Erweiterung “QuickLens” wurde aus dem Chrome Web Store entfernt, nachdem Hacker sie übernahmen und mit Malware infiziert hatten, um Kryptowährungen zu stehlen und ClickFix-Angriffe durchzuführen.
Die Chrome-Erweiterung “QuickLens - Search Screen with Google Lens” ist nach einem massiven Sicherheitsvorfall aus dem Chrome Web Store verschwunden. Die ursprünglich legitime Anwendung, die Google Lens-Suchen direkt im Browser ermöglichte und etwa 7.000 Nutzer hatte, wurde Anfang Februar 2026 von Cyberkriminellen übernommen.
Nach dem Eigentümerwechsel zu support@doodlebuggle.top erschien am 17. Februar 2026 die Version 5.8 mit bösartigem Code. Sicherheitsforscher von Annex enthüllten, dass die Extension auf dem Marktplatz ExtensionHub zum Verkauf stand und anschließend kompromittiert wurde.
Die manipulierte Version forderte neue Browser-Berechtigungen an und deaktivierte wichtige Sicherheits-Header wie Content-Security-Policy (CSP), X-Frame-Options und X-XSS-Protection auf allen besuchten Webseiten. Dies ermöglichte es Angreifern, schädliche Skripte auszuführen.
Die Extension verbindete sich alle fünf Minuten mit einem Command-and-Control-Server unter api.extensionanalyticspro[.]top. Nach einer Geolokalisierung über Cloudflare und Betriebssystem-Identifikation empfing sie regelmäßig neue Befehle und schädliche JavaScript-Codes.
Nutzer berichteten in Online-Foren von gefälschten Google-Update-Meldungen, die auf jeder besuchten Website auftauchten. Diese waren Teil einer “ClickFix”-Attacke: Die Pop-ups täuschten eine Chrome-Aktualisierung vor und führten zu weiteren Malware-Downloads. Unter Windows zeigte sich die Gefahr besonders deutlich: Ein als “googleupdate.exe” getarntes Schadprogramm verbindete sich mit weiteren Servern und führte versteckte PowerShell-Befehle aus.
Das Ausmaß des Datenraubs war erheblich. Die Extension schnüffelte systematisch Passwörter, Zahlungsinformationen und Formulardaten ab. Sie zielte zudem explizit auf Kryptowallet-Besitzer: MetaMask, Phantom, Coinbase Wallet, Trust Wallet und acht weitere Wallets wurden erkannt und deren Seed-Phrasen zu stehlen versucht – mit dem Ziel, komplette Wallets zu übernehmen. Zusätzlich wurden Gmail-Inhalte ausgelesen, Facebook-Werbekonten und YouTube-Kanaldaten abgegriffen.
Google hat die Extension inzwischen entfernt und deaktiviert sie automatisch für betroffene Nutzer. Experten empfehlen Usern, die Extension zu deinstallieren, ihre Geräte auf Malware zu scannen, alle Browser-Passwörter zurückzusetzen und – falls relevant – Kryptowährungen sofort auf neue Wallets zu transferieren.
QuickLens ist nicht der erste Fall dieser Art: Erst kürzlich entdeckte das Sicherheitsunternehmen Huntress eine Browser-Extension, die gezielt Browsersabstürze provozierte, um gefälschte Reparatur-Tools mit der ModeloRAT-Malware einzuschleusen. Die ClickFix-Taktik erweist sich zunehmend als bevorzugte Methode für Cyberkriminelle.
Quelle: BleepingComputer