Rabattilbud med flere licenser
Trusseldatabase Malware Infostealer Chrome-udvidelser

Infostealer Chrome-udvidelser

Med Mezo i Malware, Tyvere
Oversæt til:

Sikkerhedsanalytikere har identificeret en uønsket Google Chrome-udvidelse, der er udviklet til at indsamle følsomme data fra Meta Business-miljøer. Udvidelsen, CL Suite fra @CLMasters, præsenterer sig selv som et produktivitetsværktøj for brugere af Meta Business Suite og Facebook Business Manager. Den blev markedsført som et værktøj til at scrape forretningsdata, omgå bekræftelsesprompter og generere tofaktorgodkendelseskoder (2FA) og blev offentliggjort i Chrome Web Store den 1. marts 2025.

Trods påstande i deres privatlivspolitik om, at 2FA-hemmeligheder og Business Manager-data forbliver begrænset til det lokale miljø, afslører teknisk analyse en anden virkelighed. Udvidelsen anmoder om omfattende tilladelser over domænerne meta.com og facebook.com og overfører i hemmelighed følsomme oplysninger til angriberkontrolleret infrastruktur.

Funktioner til skjult dataudvinding

Udvidelsen indsamler og eksporterer lydløst data af høj værdi fra autentificerede Meta-sessioner. Eksfiltreret information sendes til en backend, der hostes hos getauth[.]pro, med en valgfri mekanisme til at videresende de samme nyttelast til en Telegram-kanal, der drives af trusselsaktøren.

Det fulde omfang af udvidelsens dataindsamlingsfunktionalitet omfatter:

  • Tyveri af TOTP-frø og aktive 2FA-koder, der bruges til at sikre Meta- og Facebook Business-konti
  • Udtræk af Business Manager 'Personer'-data, samlet i CSV-filer med navne, e-mailadresser, tildelte roller, tilladelsesniveauer og adgangsstatusser
  • Opregning af Business Manager-enheder og linkede aktiver, herunder annoncekonti, tilknyttede sider, aktivforbindelser, faktureringskonfigurationer og betalingsoplysninger

Selvom tilføjelsen ikke direkte indfanger adgangskoder, kan angribere kombinere de stjålne tidsbaserede engangsadgangskoder med legitimationsoplysninger fra infostealer-logfiler eller lækkede databaser for at få uautoriseret adgang til kontoen.

Sikkerhedsforskere advarer om, at selv med en relativt lille installationsbase er de indsamlede efterretninger tilstrækkelige til at identificere værdifulde virksomhedsmål og muliggøre opfølgende angreb.

Skrabning forklædt som produktivitet

Eksemplet med CL Suite illustrerer, hvordan snævert afgrænsede browserudvidelser kan skjule aggressiv dataindsamling som legitime workflowforbedringer. Funktioner som kontaktudtrækning, analyseindsamling, undertrykkelse af pop op-vinduer til verifikation og generering af 2FA i browseren er ikke neutrale værktøjer. I stedet fungerer de som specialbyggede scrapers, der er konstrueret til at udtrække kontaktlister, metadata og godkendelsesmateriale direkte fra godkendte Meta-forretningsgrænseflader.

Ved at integrere sig i betroede arbejdsgange omgår sådanne udvidelser brugerens mistanke og fungerer inden for sikkerhedsgrænserne for aktive sessioner.

AiFrame-kampagnen: AI-assistenter blev til dataproxyer

I en separat, men koordineret kampagne kaldet AiFrame, afdækkede forskere 32 browserudvidelser, der blev markedsført som AI-drevne assistenter til opsummering, chat, skrivestøtte og Gmail-produktivitet. Tilsammen har disse tilføjelser akkumuleret mere end 260.000 installationer.

Selvom de virker legitime, er udvidelserne afhængige af en fjern, serverdrevet arkitektur. I stedet for at behandle data lokalt integrerer de fuldskærms iframe-overlays, der forbinder til domænet claude.tapnetic[.]pro. Dette design gør det muligt for operatører dynamisk at introducere nye funktioner uden at udstede opdateringer via Chrome Webshop.

Når disse udvidelser er implementeret, fungerer de som privilegerede mellemled mellem browseren og den eksterne infrastruktur. Når de aktiveres, inspicerer de den aktive fane og bruger Mozillas Readability-bibliotek til at udtrække artikelindhold. Yderligere funktioner omfatter start af talegenkendelse og overførsel af optagne transskriptioner til eksterne servere.

En delmængde af udvidelserne er specifikt rettet mod Gmail. Når brugere tilgår mail.google.com og aktiverer AI-drevne svar- eller opsummeringsfunktioner, udtrækkes synligt e-mailindhold direkte fra dokumentobjektmodellen (DOM) og transmitteres til tredjeparts backend-systemer, der kontrolleres af operatørerne. Som følge heraf kan e-mailindhold og kontekstuelle metadata overføres ud over Gmails beskyttede miljø til eksterne servere uden klar brugerbevidsthed.

Storstilet misbrug af udvidelser og dataformidling

Misbrug af browserudvidelser er ikke begrænset til isolerede kampagner. Forskere har også identificeret 287 Chrome-udvidelser, der tilsammen er blevet installeret 37,4 millioner gange, cirka 1% af den globale Chrome-brugerbase, og som stjåler browserhistorik til datamæglere.

Tidligere undersøgelser har vist, hvordan indsamlede browserdata aggregeres og tjenes penge på af virksomheder som Similarweb og Alexa. Disse resultater understreger omfanget, hvorpå udvidelsesbaseret overvågning kan fungere.

Styrkelse af forsvaret mod ondsindede udvidelser

I betragtning af det eskalerende trusselsbillede bør organisationer og individuelle brugere indføre disciplinerede praksisser for administration af udvidelser. Effektive forsvarsforanstaltninger omfatter:

  • Installation af kun essentielle, velanmeldte udvidelser fra officielle markedspladser
  • Udførelse af periodiske revisioner af installerede udvidelser for at opdage overdrevne tilladelser eller unormal adfærd
  • Brug af separate browserprofiler til følsomme aktiviteter
  • Implementering af tilladelseslister for udvidelser i virksomhedsmiljøer for at blokere uautoriserede eller ikke-kompatible tilføjelser

Browserudvidelser opererer med betydelige privilegier i betroede sessioner. Uden streng overvågning kan de blive effektive kanaler for dataudprøvning og kompromittering af legitimationsoplysninger.

System Messages

The following system messages may be associated with Infostealer Chrome-udvidelser:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trending

Mest sete

Indlæser...