Laut Annex wechselte der Besitzer am 1. Februar 2026 zu support@doodlebuggle.top unter der Bezeichnung “LLC Quick Lens”, verbunden mit einer neuen Datenschutzerklärung auf einer kaum funktionsfähigen Domain. Gut zwei Wochen später wurde das schädliche Update an die Nutzer ausgespielt.

Die Analyse von Annex zeigt, dass Version 5.8 neue Browser-Berechtigungen anforderte, darunter declarativeNetRequestWithHostAccess und webRequest. Eine mitgelieferte Datei rules.json entfernte zudem auf allen Seiten und Frames Sicherheits-Header wie Content-Security-Policy (CSP), X-Frame-Options und X-XSS-Protection – Header, die das Ausführen schädlicher Skripte erschwert hätten.

Das Update nahm außerdem Kontakt zu einem Command-and-Control-Server (C2) unter api.extensionanalyticspro[.]top auf. Nach Angaben von Annex erzeugte die Erweiterung eine dauerhafte UUID, ermittelte über den Trace-Endpunkt von Cloudflare das Land des Opfers, erkannte Browser und Betriebssystem und fragte den C2-Server alle fünf Minuten nach Anweisungen ab.

BleepingComputer wurde auf das Add-on aufmerksam, nachdem zahlreiche Nutzer gefälschte Google-Update-Hinweise auf jeder Webseite gemeldet hatten. Ein Hilfesuchender schrieb auf Reddit, die Meldung erscheine auf jeder Seite, die er aufrufe; selbst nach einer Aktualisierung von Chrome tauche sie weiter auf und mache jede Interaktion unmöglich. Den Code, der dabei in die Zwischenablage kopiert werde, wolle er natürlich nicht im Ausführen-Dialog starten.

Nach Analyse von BleepingComputer empfing die Erweiterung vom C2-Server ein Bündel schädlicher JavaScript-Skripte, die bei jedem Seitenaufruf ausgeführt wurden – mit einer von Annex als “1x1-GIF-Pixel-onload-Trick” beschriebenen Technik. Weil die Erweiterung die CSP-Header auf allen Seiten entfernte, funktionierte diese Inline-Ausführung selbst dort, wo sie normalerweise blockiert würde.

Das erste Schadpaket kontaktierte google-update[.]icu und zeigte eine gefälschte Google-Update-Aufforderung an. Ein Klick auf die Schaltfläche löste einen ClickFix-Angriff aus, bei dem Nutzer zur “Verifizierung” Code auf ihrem Rechner ausführen sollten. Bei Windows-Nutzern führte dies zum Download einer schädlichen Datei namens “googleupdate.exe”, die mit einem Zertifikat der “Hubei Da’e Zhidao Food Technology Co., Ltd.” signiert war. Beim Ausführen startete die Malware verdeckt einen PowerShell-Befehl, der eine zweite PowerShell-Instanz zu drivers[.]solutions/META-INF/xuoa.sys aufbaute und dabei einen eigenen “Katzilla”-User-Agent nutzte; die Antwort wurde an Invoke-Expression weitergereicht. Zum Zeitpunkt der Analyse lieferte die zweite Stufe keine schädlichen Inhalte mehr aus.

Ein weiteres über den C2-Server ausgeliefertes JavaScript-“Agent” zielte auf Kryptowährungen. Es prüfte, ob die Wallets MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Backpack, Brave Wallet, Exodus, Binance Chain Wallet, WalletConnect oder Argon installiert waren, und versuchte, Aktivitäten und Seed-Phrasen abzugreifen, um die Wallets zu übernehmen. Ein anderes Skript fing Anmeldedaten, Zahlungsinformationen und weitere sensible Formulardaten ab. Zusätzliche Schadpakete lasen Gmail-Postfächer aus, extrahierten Daten aus Facebook Business Manager und sammelten Informationen zu YouTube-Kanälen.

Eine Bewertung auf der inzwischen entfernten Erweiterungsseite behauptet, macOS-Nutzer seien mit dem Infostealer AMOS (Atomic Stealer) angegriffen worden; BleepingComputer konnte dies nicht unabhängig bestätigen.

Wer QuickLens installiert hatte, sollte die Erweiterung vollständig entfernen, das Gerät auf Schadsoftware prüfen und Passwörter zurücksetzen, die im Browser gespeichert waren. Bei Nutzung der genannten Krypto-Wallets sollten Guthaben in eine neue Wallet übertragen werden. Es ist nicht der erste derartige Fall: Im vergangenen Monat entdeckte Huntress eine Browser-Erweiterung, die Browser absichtlich zum Absturz brachte und über gefälschte Lösungshinweise die Malware ModeloRAT installierte.