Ekstensi Chrome “QuickLens – Search Screen with Google Lens” resmi dihapus dari Chrome Web Store setelah ditemukan telah disusupi dan digunakan untuk menyebarkan malware serta mencuri aset kripto pengguna.
Awalnya, QuickLens dipasarkan sebagai alat untuk menjalankan pencarian Google Lens langsung dari browser. Ekstensi ini sempat memiliki sekitar 7.000 pengguna dan bahkan pernah menerima badge unggulan dari Google. Namun pada 17 Februari 2026, versi 5.8 dirilis dengan skrip berbahaya yang memicu serangan ClickFix dan pencurian informasi sensitif Pasted text.
Berubah Kepemilikan Sebelum Update Berbahaya
Peneliti keamanan dari Annex melaporkan bahwa ekstensi tersebut sebelumnya ditawarkan untuk dijual di marketplace ExtensionHub. Pada 1 Februari 2026, kepemilikan berubah menjadi akun support@doodlebuggle.top di bawah nama “LLC Quick Lens”, disertai kebijakan privasi baru yang dihosting di domain mencurigakan.
Dua minggu setelah perubahan kepemilikan, pembaruan berbahaya didorong ke pengguna.
Versi 5.8 meminta izin tambahan seperti declarativeNetRequestWithHostAccess dan webRequest. Ekstensi juga menyertakan file rules.json yang menghapus header keamanan browser seperti Content-Security-Policy (CSP), X-Frame-Options, dan X-XSS-Protection, sehingga mempermudah eksekusi skrip berbahaya di situs yang dikunjungi Pasted text.
Komunikasi dengan Server C2 dan Eksekusi Skrip Berbahaya
Analisis menunjukkan ekstensi terhubung ke server command-and-control (C2) di api.extensionanalyticspro[.]top. Ia membuat UUID persisten, mengidentifikasi lokasi korban melalui endpoint Cloudflare, mengenali sistem operasi dan browser, lalu melakukan polling setiap lima menit untuk menerima instruksi baru Pasted text.
Payload JavaScript berbahaya dijalankan di setiap halaman menggunakan teknik yang disebut “1×1 GIF pixel onload trick”. Karena header CSP telah dihapus, skrip inline dapat berjalan bahkan di situs yang biasanya memblokirnya.
Salah satu payload menghubungi domain google-update[.]icu dan menampilkan peringatan palsu “Google Update”. Ketika pengguna mengklik tombol pembaruan, muncul serangan ClickFix yang meminta korban menjalankan kode tertentu di sistem mereka Pasted text.
Pada Windows, pengguna diarahkan mengunduh file “googleupdate.exe” yang ditandatangani dengan sertifikat atas nama “Hubei Da’e Zhidao Food Technology Co., Ltd.”. Malware ini menjalankan perintah PowerShell tersembunyi yang terhubung ke domain drivers[.]solutions menggunakan user agent khusus “Katzilla” Pasted text.
Targetkan Dompet Kripto dan Data Sensitif
Ekstensi berbahaya tersebut juga memindai keberadaan berbagai dompet kripto di browser, termasuk MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Solflare, Brave Wallet, Exodus, Binance Chain Wallet, WalletConnect, hingga Argon.
Jika ditemukan, skrip mencoba mencuri aktivitas akun dan seed phrase untuk mengambil alih dompet serta menguras asetnya. Selain itu, skrip lain mengumpulkan kredensial login, informasi pembayaran, isi kotak masuk Gmail, data Facebook Business Manager, serta informasi kanal YouTube Pasted text.
Laporan di halaman ekstensi yang kini telah dihapus juga menyebut pengguna macOS kemungkinan menjadi target infostealer AMOS (Atomic Stealer), meski klaim tersebut belum dapat diverifikasi secara independen.
Google Nonaktifkan Ekstensi
Google telah menghapus QuickLens dari Chrome Web Store, dan browser kini otomatis menonaktifkan ekstensi tersebut pada perangkat pengguna yang terdampak Pasted text.
Pengguna yang pernah menginstal QuickLens disarankan untuk:
- Memastikan ekstensi telah sepenuhnya dihapus
- Memindai perangkat menggunakan perangkat lunak keamanan
- Mengganti semua kata sandi yang tersimpan di browser
- Memindahkan dana ke dompet kripto baru jika menggunakan dompet yang disebutkan
Kasus ini menegaskan risiko pengambilalihan ekstensi browser populer, terutama setelah perubahan kepemilikan. Modus serangan ClickFix sendiri sebelumnya juga terdeteksi digunakan untuk menyebarkan malware lain melalui ekstensi yang sengaja menyebabkan browser crash sebelum menampilkan “perbaikan” palsu Pasted text.