Giriş
Son dönemde, “QuickLens – Google Lens ile Ekran Arama” adlı bir Chrome uzantısı, kötü amaçlı yazılımları dağıtmak ve kullanıcıların kripto para cüzdan bilgilerini çalmak için kullanıldı. Uzantının bu şekilde hacklenmesi, siber güvenlik tehditlerinin ve uzantıların güvenilirliğinin önemini bir kez daha gözler önüne serdi.
Hedef Alınan Uzantı: QuickLens
Kötü niyetli yazılımlar üzerine uzmanlaşan Annex araştırma ekibi, QuickLens uzantısının, uzantıların satışının yapıldığı ExtensionHub’da yeni bir sahibi tarafından satın alındığını kaydetti. 1 Şubat 2026 tarihinde uzantının sahibi [email protected] olarak değişti ve bu tarihten iki hafta sonra kötü amaçlı bir güncelleme kullanıcılara yollandı.
Analizler, versiyon 5.8‘in yeni tarayıcı izinleri talep ettiğini ve declarativeNetRequestWithHostAccess ile webRequest izinlerinin eklendiğini ortaya koydu. Uzantı, farklı sayfalardaki güvenlik başlıklarını (Content-Security-Policy, X-Frame-Options, X-XSS-Protection) kaldıran bir rules.json dosyası içeriyordu, bu da kötü niyetli komutların işlenmesini kolaylaştırıyordu.
Güncelleme, api.extensionanalyticspro[.]top adresinde bir komut kontrol (C2) sunucusuyla iletişim kurmayı sağlıyordu. Uzantı, her 5 dakikada bir C2 sunucusuna bağlanarak talimat alıyordu.
Saldırı Nasıl Çalışıyor?
Kullanıcılar, tarayıcılarda sahte Google Güncellemesi uyarılarıyla karşılaştılar. Uzantının analizleri, bu uyarıları üretmek için kullanılan bir teknik olan “1×1 GIF pixel onload trick” ile işlem yapıyor ve bu şekilde kullanıcıları yanıltarak zararlı JavaScript dosyalarını yüklüyordu.
İlk yüklenen zararlı kod, google-update[.]icu adresinden ilave bir payload alıyordu. Ardından, Windows kullanıcıları için “googleupdate.exe” adı verilen kötü amaçlı bir dosya indiriliyordu. Bu dosya, bir PowerShell komutu aracılığıyla cihaza seçilmiş kötü niyetli içerikler yüklemekteydi.
Bu zararlı JavaScript, çeşitli kripto cüzdanlarını tespit ederek, sırlarını çalma girişiminde bulunuyordu. Tespit edilen cüzdanlar arasında MetaMask, Phantom, Coinbase Wallet gibi popüler cüzdanlar yer alıyordu.
Etkilenen Sistemler
Etkilenen Chrome uzantısının kullanıcılarının cihazları şunlara maruz kalmış olabilir:
- Gizlilik verilerinin çalınması.
- Kötü amaçlı yazılımların indirilmesi ve çalıştırılması.
- Şifresiz cüzdan bilgilerinin ifşası.
Google, QuickLens uzantısını Chrome Web Mağazası’ndan kaldırdı ve etkilenen kullanıcılar için uzantıyı otomatik olarak devre dışı bıraktı.
Çözüm ve Korunma
Kullanıcıların şimdi yapmaları gerekenler:
- QuickLens uzantısını tamamen kaldırın.
- Cihazınızı kötü amaçlı yazılımlar açısından taratın.
- Tarayıcıda saklanan tüm kimlik bilgilerinin şifrelerini sıfırlayın.
- Etkilenen kripto cüzdanınız varsa, fonlarınızı yeni bir cüzdana transfer edin.
Bu tür kötü niyetli uzantıların varlığı, tarayıcı güvenliğine dair bilinçlenmeyi bir zorunluluk haline getiriyor. Geçmişte benzer olaylar yaşandığından, kullanıcıların güncellemeleri takip etmeleri ve şüpheli uzantıları kaldırmaları büyük bir önem taşımaktadır.
