Rozšíření Infostealer pro Chrome

Bezpečnostní analytici identifikovali falešné rozšíření pro Google Chrome, které bylo navrženo tak, aby shromažďovalo citlivá data z prostředí Meta Business. Rozšíření CL Suite od @CLMasters se prezentuje jako nástroj pro zvýšení produktivity pro uživatele Meta Business Suite a Facebook Business Manageru. Bylo propagováno jako nástroj pro scraping firemních dat, obcházení ověřovacích výzev a generování kódů pro dvoufaktorové ověřování (2FA) a bylo zveřejněno v internetovém obchodě Chrome 1. března 2025.

Navzdory tvrzením v zásadách ochrany osobních údajů, že tajné informace 2FA a data Business Manageru zůstávají omezeny na lokální prostředí, technická analýza odhaluje jinou realitu. Rozšíření požaduje rozsáhlá oprávnění k doménám meta.com a facebook.com a tajně přenáší citlivé informace do infrastruktury ovládané útočníkem.

Možnosti skrytého úniku dat

Rozšíření tiše shromažďuje a exportuje vysoce hodnotná data z ověřených meta relací. Získané informace jsou odesílány na backend hostovaný na adrese getauth[.]pro, s volitelným mechanismem pro přeposílání stejných dat do telegramového kanálu provozovaného útočníkem.

Kompletní rozsah funkcí rozšíření pro sběr dat zahrnuje:

• Krádež seedů TOTP a aktivních kódů 2FA používaných k zabezpečení účtů Meta a Facebook Business
• Extrakce dat „People“ obchodního manažera, zkompilovaná do souborů CSV obsahujících jména, e-mailové adresy, přiřazené role, úrovně oprávnění a stavy přístupu
• Výčet entit Business Manageru a propojených datových zdrojů, včetně reklamních účtů, přidružených stránek, propojení datových zdrojů, konfigurací fakturace a platebních údajů

Přestože doplněk přímo nezaznamenává hesla, útočníci by mohli zkombinovat ukradená jednorázová hesla s časově omezeným přístupem s přihlašovacími údaji získanými z protokolů infostealerů nebo z uniklých databází, a získat tak neoprávněný přístup k účtu.

Bezpečnostní výzkumníci varují, že i s relativně malou instalační základnou jsou shromážděné informace dostatečné k identifikaci vysoce hodnotných firemních cílů a usnadnění následných útoků.

Škrábání maskované jako produktivita

Případ CL Suite ilustruje, jak úzce vymezená rozšíření prohlížeče mohou maskovat agresivní sběr dat jako legitimní vylepšení pracovního postupu. Funkce, jako je extrakce kontaktů, sběr analytických dat, potlačení vyskakovacích oken s ověřováním a generování 2FA v prohlížeči, nejsou neutrální nástroje. Místo toho fungují jako účelové scrapery navržené tak, aby odebíraly seznamy kontaktů, metadata a ověřovací materiál přímo z ověřených obchodních rozhraní Meta.

Díky integraci do důvěryhodných pracovních postupů se taková rozšíření vyhýbají podezření uživatelů a fungují v rámci bezpečnostních hranic aktivních relací.

Kampaň AiFrame: Asistenti s umělou inteligencí se stali datovými proxy

V samostatné, ale koordinované kampani s názvem AiFrame odhalili výzkumníci 32 rozšíření prohlížeče, která jsou propagována jako asistenti s umělou inteligencí pro shrnutí, chat, podporu psaní a produktivitu Gmailu. Dohromady se tyto doplňky instalovaly více než 260 000krát.

Ačkoli se tato rozšíření zdají být legitimní, spoléhají na vzdálenou, serverem řízenou architekturu. Místo lokálního zpracování dat vkládají překryvné prvky iframe na celou obrazovku, které se připojují k doméně claude.tapnetic[.]pro. Tento design umožňuje operátorům dynamicky zavádět nové funkce bez nutnosti vydávání aktualizací prostřednictvím Internetového obchodu Chrome.

Po nasazení tato rozšíření fungují jako privilegovaní prostředníci mezi prohlížečem a vzdálenou infrastrukturou. Po spuštění prozkoumají aktivní kartu a pomocí knihovny Readability od Mozilly extrahují obsah článku. Mezi další funkce patří zahájení rozpoznávání řeči a přenos zachycených přepisů na externí servery.

Podmnožina rozšíření se konkrétně zaměřuje na Gmail. Když uživatelé přistupují na mail.google.com a aktivují funkce odpovědi nebo shrnutí řízené umělou inteligencí, viditelný obsah e-mailu je extrahován přímo z modelu objektů dokumentu (DOM) a přenášen do backendových systémů třetích stran, které spravují operátoři. V důsledku toho mohou být obsah e-mailu a kontextová metadata přenášeny mimo chráněné prostředí Gmailu na vzdálené servery bez jasného vědomí uživatele.

Zneužívání rozšíření ve velkém měřítku a zprostředkování dat

Zneužívání rozšíření prohlížeče se neomezuje pouze na jednotlivé kampaně. Výzkumníci také identifikovali 287 rozšíření Chrome, která byla dohromady nainstalována 37,4 milionkrát, což představuje přibližně 1 % globální uživatelské základny Chrome, a která odesílají historii prohlížení k datovým zprostředkovatelům.

Předchozí výzkumy ukázaly, jak společnosti jako Similarweb a Alexa agregují a monetizují shromážděná data o prohlížení. Tato zjištění podtrhují rozsah, v jakém může dohled založený na rozšířeních fungovat.

Posílení obrany proti škodlivým rozšířením

Vzhledem k rostoucímu počtu hrozeb by organizace a jednotliví uživatelé měli zavést disciplinované postupy správy rozšíření. Mezi účinná obranná opatření patří:

• Instalace pouze nezbytných, dobře hodnocených rozšíření z oficiálních tržišť
• Provádění pravidelných auditů nainstalovaných rozšíření za účelem odhalení nadměrného počtu oprávnění nebo anomálního chování

• Používání samostatných profilů prohlížeče pro citlivé aktivity

• Implementace seznamu povolených rozšíření v podnikových prostředích za účelem blokování neoprávněných nebo nekompatibilních doplňků

Rozšíření prohlížeče fungují s významnými oprávněními v rámci důvěryhodných relací. Bez přísného dohledu se mohou stát účinnými kanály pro únik dat a kompromitaci přihlašovacích údajů.