Разширения за Chrome на Infostealer

Анализатори по сигурността са идентифицирали злонамерено разширение за Google Chrome, проектирано за събиране на чувствителни данни от Meta Business среди. Разширението, CL Suite от @CLMasters, се представя като инструмент за продуктивност за потребителите на Meta Business Suite и Facebook Business Manager. Рекламирано като помощна програма за извличане на бизнес данни, заобикаляне на подканите за проверка и генериране на кодове за двуфакторно удостоверяване (2FA), то беше публикувано в уеб магазина на Chrome на 1 март 2025 г.

Въпреки твърденията в политиката за поверителност, че тайните на 2FA и данните от Business Manager остават ограничени до локалната среда, техническият анализ разкрива различна реалност. Разширението изисква обширни разрешения за домейните meta.com и facebook.com и тайно предава чувствителна информация към контролирана от хакера инфраструктура.

Възможности за тайно извличане на данни

Разширението тихо събира и експортира високоценни данни от удостоверени мета сесии. Извлечената информация се изпраща към бекенд, хостван на getauth[.]pro, с опционален механизъм за препращане на същите полезни товари към Telegram канал, управляван от злонамерената организация.

Пълният обхват на функционалността за събиране на данни на разширението включва:

• Кражба на TOTP семена и активни 2FA кодове, използвани за защита на Meta и Facebook Business акаунти
• Извличане на данни за „Хора“ на бизнес мениджъра, компилирани в CSV файлове, съдържащи имена, имейл адреси, присвоени роли, нива на разрешения и статуси на достъп
• Изброяване на обекти в Business Manager и свързани активи, включително рекламни акаунти, свързани страници, връзки на активи, конфигурации за фактуриране и данни за плащане

Въпреки че добавката не улавя директно пароли, нападателите биха могли да комбинират откраднатите еднократни пароли, базирани на време, с идентификационни данни, получени от регистрационни файлове на крадци на информация или изтекли бази данни, за да получат неоторизиран достъп до акаунта.

Изследователите по сигурността предупреждават, че дори при относително малка инсталационна база, събраната разузнавателна информация е достатъчна за идентифициране на корпоративни цели с висока стойност и улесняване на последващи атаки.

Изстъргване, прикрито като продуктивност

Случаят с CL Suite илюстрира как тясно обхватните разширения на браузъра могат да прикрият агресивното събиране на данни като легитимни подобрения в работния процес. Функции като извличане на контакти, събиране на анализи, потискане на изскачащи прозорци за проверка и генериране на 2FA в браузъра не са неутрални помощни програми. Вместо това те функционират като специално създадени скрепери, проектирани да извличат списъци с контакти, метаданни и материали за удостоверяване директно от удостоверени бизнес интерфейси на Meta.

Чрез вграждане в надеждни работни процеси, такива разширения заобикалят подозренията на потребителите и работят в рамките на защитните граници на активните сесии.

Кампанията AiFrame: Асистенти с изкуствен интелект, превърнати в прокси за данни

В отделна, но координирана кампания, наречена AiFrame, изследователите разкриха 32 разширения за браузър, предлагани на пазара като асистенти, задвижвани от изкуствен интелект, за обобщаване, чат, поддръжка на писане и продуктивност в Gmail. Заедно тези добавки са натрупали над 260 000 инсталации.

Въпреки че изглеждат легитимни, разширенията разчитат на отдалечена, управлявана от сървър архитектура. Вместо да обработват данни локално, те вграждат iframe наслагвания на цял екран, които се свързват с домейна claude.tapnetic[.]pro. Този дизайн позволява на операторите динамично да въвеждат нови възможности, без да издават актуализации чрез уеб магазина на Chrome.

След като бъдат внедрени, тези разширения действат като привилегировани посредници между браузъра и отдалечената инфраструктура. Когато бъдат задействани, те проверяват активния раздел и използват библиотеката за четене на Mozilla, за да извлекат съдържанието на статии. Допълнителните възможности включват иницииране на разпознаване на реч и предаване на заснети транскрипти към външни сървъри.

Подмножество от разширенията е насочено специално към Gmail. Когато потребителите достъпват mail.google.com и активират функции за отговор или обобщение, управлявани от изкуствен интелект, видимото съдържание на имейлите се извлича директно от обектния модел на документа (DOM) и се предава на бекенд системи на трети страни, контролирани от операторите. Следователно, съдържанието на имейлите и контекстните метаданни могат да бъдат прехвърлени извън защитената среда на Gmail към отдалечени сървъри без ясното знание на потребителя.

Злоупотреба с разширения в голям мащаб и брокерство на данни

Злоупотребата с разширения на браузъра не се ограничава само до изолирани кампании. Изследователите са идентифицирали и 287 разширения за Chrome, които са били инсталирани общо 37,4 милиона пъти, приблизително 1% от глобалната потребителска база на Chrome, и които извличат истории на сърфиране към брокери на данни.

Предишни разследвания са показали как събраните данни за сърфиране се обобщават и монетизират от компании като Similarweb и Alexa. Тези открития подчертават мащаба, в който може да функционира наблюдение, базирано на разширения.

Засилване на защитата срещу злонамерени разширения

Предвид ескалиращата среда на заплахите, организациите и отделните потребители трябва да възприемат дисциплинирани практики за управление на разширенията. Ефективните защитни мерки включват:

• Инсталиране само на основни, добре проверени разширения от официални пазари
• Провеждане на периодични одити на инсталираните разширения за откриване на прекомерни разрешения или аномално поведение

• Използване на отделни профили в браузъра за чувствителни дейности

• Внедряване на списъци с разрешени разширения в корпоративни среди за блокиране на неоторизирани или несъвместими добавки

Разширенията на браузъра работят със значителни привилегии в рамките на надеждни сесии. Без строг надзор те могат да се превърнат в мощни канали за изтичане на данни и компрометиране на идентификационни данни.