Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso QuickLens - Pantalla de búsqueda con la extensión...

QuickLens - Pantalla de búsqueda con la extensión maliciosa de Google Lens

Por Mezo en Software malicioso, Ladrones
Traducir a:

La extensión del navegador QuickLens - Search Screen con Google Lens se promocionó inicialmente como una herramienta práctica para buscar imágenes en pantalla, traducir contenido y recuperar información de productos mediante consultas visuales. A pesar de su apariencia y funcionalidad legítimas, la extensión se convirtió en una grave amenaza para la ciberseguridad. Las investigaciones revelaron que el software contenía scripts maliciosos capaces de recopilar información confidencial y lanzar ataques de ingeniería social de ClickFix en los sistemas infectados.

Inicialmente, la extensión contaba con una amplia base de usuarios y gozaba de gran confianza. Sin embargo, en febrero de 2026 se produjo un cambio crucial: se vendió en una plataforma de extensiones de navegador y fue adquirida por un nuevo propietario que operaba con la dirección de correo electrónico "support@doodlebuggle.top" y el nombre de la empresa LLC Quick Lens. Poco después de la adquisición, se introdujo una política de privacidad sospechosa, seguida del lanzamiento de una actualización maliciosa distribuida a todos los usuarios.

Actualización maliciosa distribuida a través de canales oficiales

Dado que miles de usuarios ya habían instalado la extensión, la actualización maliciosa se propagó rápidamente. El mecanismo de actualización automática de Chrome Web Store distribuyó la versión comprometida directamente a las instalaciones existentes sin necesidad de intervención adicional del usuario.

La versión actualizada solicitaba amplios permisos del navegador que le permitían supervisar el comportamiento de navegación y modificar la actividad del sitio web. Estos permisos permitían a la extensión eliminar protecciones de seguridad críticas que normalmente aplican los sitios web. Se deshabilitaron las medidas de seguridad diseñadas para bloquear scripts maliciosos, evitar el framing de sitios y mitigar ciertas técnicas de ataque, lo que facilitó considerablemente la ejecución de código malicioso inyectado en cualquier página visitada por la víctima.

Comunicación persistente con la infraestructura de comando y control

Tras la instalación, la extensión comprometida estableció comunicación con un servidor remoto de Comando y Control (C2). El malware generó un identificador único para cada usuario infectado y recopiló información del entorno, como la ubicación geográfica, el tipo de navegador y el sistema operativo.

La extensión mantuvo una comunicación constante con el servidor remoto enviando solicitudes cada cinco minutos. Estas solicitudes periódicas permitieron a los atacantes enviar nuevas instrucciones, actualizar cargas maliciosas o iniciar ataques adicionales en los sistemas comprometidos.

Ingeniería social de ClickFix y alertas de actualizaciones falsas

La versión maliciosa de QuickLens también implementaba técnicas agresivas de ingeniería social. Tenía la capacidad de inyectar scripts en cualquier página web visitada por la víctima, lo que le permitía mostrar notificaciones fraudulentas de Google Update.

Estas alertas engañosas fueron diseñadas para imitar avisos legítimos de actualización de software. En realidad, formaban parte de un ataque similar a ClickFix, una técnica que manipula a los usuarios para que ejecuten comandos dañinos o descarguen malware adicional. Al mostrar las alertas en varios sitios web, los atacantes aumentaron la probabilidad de que las víctimas confiaran en el aviso y siguieran las instrucciones maliciosas.

Monedero de criptomonedas y capacidad de robo de datos

Una de las funciones más peligrosas de la extensión comprometida consistía en atacar activos de criptomonedas y datos confidenciales de los usuarios. Los scripts maliciosos integrados escaneaban los navegadores en busca de monederos de criptomonedas instalados e intentaban extraer información confidencial, como frases semilla del monedero, credenciales de autenticación y datos confidenciales de formularios.

El malware se dirigió específicamente a las siguientes plataformas de billeteras de criptomonedas:

  • Argón
  • Mochila
  • Monedero de cadena Binance
  • Cartera valiente
  • Monedero Coinbase
  • éxodo
  • MetaMáscara
  • Fantasma
  • Solflare
  • Cartera de confianza
  • Conexión de billetera

Además del robo de criptomonedas, la extensión era capaz de recopilar una amplia gama de datos confidenciales ingresados en sitios web, como credenciales de inicio de sesión, información de pago y otros datos personales transmitidos a través de formularios web.

Acceso a Cuentas en Línea y Plataformas Comerciales

Un análisis posterior reveló que la extensión maliciosa podía acceder y extraer información de varias plataformas en línea ampliamente utilizadas. Estas capacidades ampliaron el daño potencial, abarcando no solo a usuarios individuales, sino también a empresas y creadores de contenido.

Las capacidades de recopilación de datos incluyeron:

  • Leer datos de correo electrónico en las bandejas de entrada de Gmail
  • Recopilación de información de la cuenta publicitaria de Facebook Business Manager
  • Recuperación de datos analíticos y operativos de canales de YouTube

Esta funcionalidad creó riesgos importantes para las organizaciones que administraban campañas de marketing, cuentas financieras o plataformas de medios en línea a través de los navegadores afectados.

Eliminación de extensiones e implicaciones de seguridad

Tras descubrir la actividad maliciosa, Google eliminó y desactivó la extensión QuickLens - Pantalla de Búsqueda con Google Lens de Chrome Web Store. A pesar de esta medida, los sistemas que previamente instalaron la extensión podrían seguir en riesgo si el software persiste.

Los usuarios afectados deben desinstalar la extensión inmediatamente y revisar sus sistemas para detectar posibles vulnerabilidades. Se recomienda encarecidamente cambiar las credenciales, realizar comprobaciones de seguridad de la billetera y realizar análisis del sistema.

El incidente de QuickLens pone de relieve los crecientes riesgos de seguridad asociados a las extensiones de navegador. Incluso el software que comienza como una herramienta legítima puede convertirse en una amenaza cuando cambia de propietario y se distribuyen actualizaciones maliciosas a través de los canales oficiales de actualización. Este caso demuestra cómo las aplicaciones de confianza pueden utilizarse como arma para eludir los controles de seguridad, robar datos confidenciales y realizar ataques de ingeniería social a gran escala.

Tendencias

Un Método Actualizado Para Bloquear los Virus...

Seguridad informática
Un virus informático es un programa informático que no sólo suena desagradable, pero también es peligroso de tener en su sistema informático, no importa qué tipo de virus es, malware, adware, spyware, etc.. Cuando un nuevo virus informático invade el mundo de la informática en línea, hay menos probabilidad de que el software anti-virus del usuario sea capaz de ser lo suficientemente eficaz para...

Mas Visto

Cargando...