Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Extensions de Chrome Infostealer

Extensions de Chrome Infostealer

El Mezo el Programari maliciós, Ladrons
Traduir a:

Analistes de seguretat han identificat una extensió fraudulenta de Google Chrome dissenyada per recopilar dades sensibles d'entorns Meta Business. L'extensió, CL Suite de @CLMasters, es presenta com una eina de productivitat per als usuaris de Meta Business Suite i Facebook Business Manager. Promocionada com una utilitat per extreure dades empresarials, evitar les sol·licituds de verificació i generar codis d'autenticació de dos factors (2FA), es va publicar a la Chrome Web Store l'1 de març de 2025.

Malgrat les afirmacions de la seva política de privadesa que els secrets 2FA i les dades de Business Manager romanen confinats a l'entorn local, l'anàlisi tècnica revela una realitat diferent. L'extensió sol·licita permisos amplis sobre els dominis meta.com i facebook.com i transmet de manera encoberta informació sensible a la infraestructura controlada per l'atacant.

Capacitats d’exfiltració de dades encobertes

L'extensió recopila i exporta silenciosament dades d'alt valor de sessions Meta autenticades. La informació exfiltrada s'envia a un backend allotjat a getauth[.]pro, amb un mecanisme opcional per reenviar les mateixes càrregues útils a un canal de Telegram operat per l'actor de l'amenaça.

L'abast complet de la funcionalitat de recol·lecció de dades de l'extensió inclou:

  • Robatori de llavors TOTP i codis 2FA actius utilitzats per assegurar els comptes de Meta i Facebook Business
  • Extracció de dades de "Persones" del gestor de negocis, compilades en fitxers CSV que contenen noms, adreces de correu electrònic, rols assignats, nivells de permisos i estats d'accés.
  • Enumeració d'entitats del Gestor de Negocis i actius vinculats, inclosos comptes publicitaris, pàgines associades, connexions d'actius, configuracions de facturació i detalls de pagament

Tot i que el complement no captura directament les contrasenyes, els atacants podrien combinar les contrasenyes d'un sol ús basades en el temps robades amb credencials obtingudes de registres d'infostealers o bases de dades filtrades per obtenir accés no autoritzat al compte.

Els investigadors de seguretat alerten que, fins i tot amb una base d'instal·lacions relativament petita, la intel·ligència recopilada és suficient per identificar objectius corporatius d'alt valor i facilitar atacs posteriors.

Raspat disfressat de productivitat

El cas de CL Suite il·lustra com les extensions de navegador amb un abast restringit poden disfressar la recopilació agressiva de dades com a millores legítimes del flux de treball. Funcions com l'extracció de contactes, la recopilació d'anàlisis, la supressió de finestres emergents de verificació i la generació de 2FA al navegador no són utilitats neutrals. En canvi, funcionen com a rastrejadors dissenyats específicament per extreure llistes de contactes, metadades i material d'autenticació directament de les interfícies empresarials Meta autenticades.

En integrar-se en fluxos de treball de confiança, aquestes extensions eviten les sospites dels usuaris i operen dins dels límits de seguretat de les sessions actives.

La campanya AiFrame: assistents d’IA convertits en proxies de dades

En una campanya independent però coordinada anomenada AiFrame, els investigadors van descobrir 32 extensions de navegador comercialitzades com a assistents amb intel·ligència artificial per a resums, xat, suport d'escriptura i productivitat a Gmail. En conjunt, aquests complements han acumulat més de 260.000 instal·lacions.

Tot i que semblen legítimes, les extensions es basen en una arquitectura remota basada en servidor. En lloc de processar dades localment, incorporen superposicions d'iframe a pantalla completa que es connecten al domini claude.tapnetic[.]pro. Aquest disseny permet als operadors introduir dinàmicament noves capacitats sense emetre actualitzacions a través de Chrome Web Store.

Un cop desplegades, aquestes extensions actuen com a intermediaris privilegiats entre el navegador i la infraestructura remota. Quan s'activen, inspeccionen la pestanya activa i utilitzen la biblioteca Readability de Mozilla per extreure el contingut de l'article. Les capacitats addicionals inclouen iniciar el reconeixement de veu i transmetre transcripcions capturades a servidors externs.

Un subconjunt de les extensions es dirigeix específicament a Gmail. Quan els usuaris accedeixen a mail.google.com i activen funcions de resposta o resum basades en IA, el contingut visible del correu electrònic s'extreu directament del model d'objectes de document (DOM) i es transmet a sistemes de backend de tercers controlats pels operadors. En conseqüència, el contingut del correu electrònic i les metadades contextuals es poden transferir més enllà de l'entorn protegit de Gmail a servidors remots sense que l'usuari ho sàpiga clarament.

Abús d’extensions a gran escala i intermediació de dades

L'ús indegut de les extensions del navegador no es limita a campanyes aïllades. Els investigadors també han identificat 287 extensions de Chrome que s'han instal·lat col·lectivament 37,4 milions de vegades, aproximadament l'1% de la base d'usuaris global de Chrome, i que exfiltren els historials de navegació a intermediaris de dades.

Investigacions prèvies han demostrat com les dades de navegació recollides són agregades i monetitzades per empreses com Similarweb i Alexa. Aquestes troballes subratllen l'escala a la qual pot operar la vigilància basada en extensions.

Enfortiment de la defensa contra extensions malicioses

Donat el panorama d'amenaces en augment, les organitzacions i els usuaris individuals haurien d'adoptar pràctiques disciplinades de gestió d'extensions. Les mesures defensives efectives inclouen:

  • Instal·lant només extensions essencials i ben revisades de mercats oficials
  • Realització d'auditories periòdiques de les extensions instal·lades per detectar permisos excessius o comportaments anòmals
  • Ús de perfils de navegador separats per a activitats sensibles
  • Implementació de llistes permeses d'extensions en entorns empresarials per bloquejar complements no autoritzats o no conformes

Les extensions del navegador operen amb privilegis significatius dins de sessions de confiança. Sense una supervisió rigorosa, poden convertir-se en conductes poderosos per a l'exfiltració de dades i el compromís de credencials.

System Messages

The following system messages may be associated with Extensions de Chrome Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Tendència

Més vist

Carregant...