QuickLens: estensione per Chrome che ruba criptovalute
Topic
Approfondimenti
Trending
tutti

QuickLens: estensione per Chrome che ruba criptovalute

QuickLens era un'innocua estensione, ma dopo il cambio di proprietario è stata usata per attacchi ClickFix con l'obiettivo di rubare criptovalute.
QuickLens: estensione per Chrome che ruba criptovalute
Sicurezza
QuickLens era un'innocua estensione, ma dopo il cambio di proprietario è stata usata per attacchi ClickFix con l'obiettivo di rubare criptovalute.
Google AI Studio

Il Chrome Web Store dovrebbe essere una fonte affidabile. Invece è stata scoperta un’altra estensione usata per rubare le criptovalute alle ignare vittime. QuickLens doveva servire per la ricerca dei contenuti sullo schermo tramite Google Lens. Invece è stata sfruttata per eseguire attacchi ClickFix. È stata fortunatamente rimossa dall’azienda di Mountain View.

Nuova funzionalità dopo il cambio di proprietà

QuickLens offriva effettivamente la funzionalità promessa. Era stata scaricata oltre 7.000 volte e Google aveva anche assegnato il badge di estensione consigliata. Lo sviluppatore aveva altre estensioni sul Chrome Web Store, quindi era sicuramente affidabile. Il 1 febbraio è cambiato il proprietario (l’estensione era in vendita su ExtensionHub). Il 17 febbraio è stata rilasciata la versione 5.8 con nuovi permessi e soprattutto la funzionalità di infostealer.

L’aggiornamento rimuove gli header di sicurezza di Chrome, aggiunge l’URL al server C2 (command and control) e raccoglie informazioni su browser e sistema operativo (fingerprinting). Quando l’utente visita un sito qualsiasi, l’estensione scarica uno script JavaScript che mostra un avviso. L’utente viene invitato a scaricare un update obbligatorio per Chrome che è necessario per accedere al sito.

Cliccando sul pulsante Update vengono visualizzate le famigerate istruzioni di un attacco ClickFix. L’utente dovrebbe aprire la finestra Esegui di Windows, digitare Ctrl + V e premere Invio. In questo modo viene eseguito un comando PowerShell che porta al download di un malware.

Si tratta di un infostealer che verifica la presenza di noti wallet per rubare credenziali e seed phrase. Ciò consente ai cybercriminali di accedere al portafoglio digitale e rubare le criptovalute. Altri script scaricano malware che rubano vari dati sensibili, incluse le informazioni di pagamento. Su macOS viene installato l’infostealer AMOS.

Gli utenti devono ovviamente rimuovere QuickLens, cambiare tutte le password e sostituire il wallet. La tecnica ClickFix è purtroppo molto diffusa, come dimostrano i numerosi casi segnalati dai ricercatori.

Fonte: Bleeping Computer

Pubblicato il 5 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Ordine di acquisto usato per rubare le password

Ordine di acquisto usato per rubare le password
Avast in promozione: fino al 60% di sconto sui pacchetti antivirus

Avast in promozione: fino al 60% di sconto sui pacchetti antivirus
Europol e FBI chiudono LeakBase, noto forum del cybercrime

Europol e FBI chiudono LeakBase, noto forum del cybercrime
Europol e Microsoft smantellano la piattaforma Tycoon2FA

Europol e Microsoft smantellano la piattaforma Tycoon2FA
Ordine di acquisto usato per rubare le password

Ordine di acquisto usato per rubare le password
Avast in promozione: fino al 60% di sconto sui pacchetti antivirus

Avast in promozione: fino al 60% di sconto sui pacchetti antivirus
Europol e FBI chiudono LeakBase, noto forum del cybercrime

Europol e FBI chiudono LeakBase, noto forum del cybercrime
Europol e Microsoft smantellano la piattaforma Tycoon2FA

Europol e Microsoft smantellano la piattaforma Tycoon2FA
Luca Colantuoni
Pubblicato il
5 mar 2026
Link copiato negli appunti