Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Επεκτάσεις Chrome του Infostealer

Επεκτάσεις Chrome του Infostealer

Μέχρι το Mezo το Κακόβουλο λογισμικό, Κλέφτες
Μετάφραση σε:

Αναλυτές ασφαλείας εντόπισαν μια αθέμιτη επέκταση του Google Chrome που έχει σχεδιαστεί για να συλλέγει ευαίσθητα δεδομένα από περιβάλλοντα Meta Business. Η επέκταση, CL Suite από την @CLMasters, παρουσιάζεται ως εργαλείο παραγωγικότητας για τους χρήστες του Meta Business Suite και του Facebook Business Manager. Προωθούμενη ως βοηθητικό πρόγραμμα για την συλλογή επιχειρηματικών δεδομένων, την παράκαμψη προτροπών επαλήθευσης και τη δημιουργία κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA), δημοσιεύτηκε στο Chrome Web Store την 1η Μαρτίου 2025.

Παρά τους ισχυρισμούς στην πολιτική απορρήτου της ότι τα μυστικά του 2FA και τα δεδομένα του Business Manager παραμένουν περιορισμένα στο τοπικό περιβάλλον, η τεχνική ανάλυση αποκαλύπτει μια διαφορετική πραγματικότητα. Η επέκταση ζητά εκτεταμένα δικαιώματα στους τομείς meta.com και facebook.com και μεταδίδει κρυφά ευαίσθητες πληροφορίες σε υποδομή που ελέγχεται από εισβολείς.

Δυνατότητες μυστικής εξαγωγής δεδομένων

Η επέκταση συλλέγει και εξάγει σιωπηλά δεδομένα υψηλής αξίας από πιστοποιημένες συνεδρίες Meta. Οι εξαγόμενες πληροφορίες αποστέλλονται σε ένα backend που φιλοξενείται στο getauth[.]pro, με έναν προαιρετικό μηχανισμό για την προώθηση των ίδιων ωφέλιμων φορτίων σε ένα κανάλι Telegram που λειτουργεί ο απειλητικός παράγοντας.

Το πλήρες εύρος της λειτουργικότητας συλλογής δεδομένων της επέκτασης περιλαμβάνει:

  • Κλοπή αρχικών δεδομένων TOTP και ενεργών κωδικών 2FA που χρησιμοποιούνται για την ασφάλεια λογαριασμών Meta και Facebook Business
  • Εξαγωγή δεδομένων «Άτομα» του Business Manager, τα οποία έχουν συγκεντρωθεί σε αρχεία CSV που περιέχουν ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ρόλους που έχουν ανατεθεί, επίπεδα δικαιωμάτων και καταστάσεις πρόσβασης
  • Καταμέτρηση οντοτήτων Business Manager και συνδεδεμένων στοιχείων, συμπεριλαμβανομένων διαφημιστικών λογαριασμών, συσχετισμένων σελίδων, συνδέσεων στοιχείων, διαμορφώσεων χρέωσης και λεπτομερειών πληρωμής

Παρόλο που το πρόσθετο δεν καταγράφει απευθείας κωδικούς πρόσβασης, οι εισβολείς θα μπορούσαν να συνδυάσουν τους κλεμμένους κωδικούς πρόσβασης μιας χρήσης που βασίζονται στον χρόνο με διαπιστευτήρια που προέρχονται από αρχεία καταγραφής κλοπής πληροφοριών ή διαρροές βάσεων δεδομένων για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς.

Οι ερευνητές ασφαλείας προειδοποιούν ότι ακόμη και με μια σχετικά μικρή βάση εγκαταστάσεων, οι πληροφορίες που συλλέγονται επαρκούν για τον εντοπισμό εταιρικών στόχων υψηλής αξίας και τη διευκόλυνση των επόμενων επιθέσεων.

Ξύσιμο μεταμφιεσμένο σε παραγωγικότητα

Η περίπτωση του CL Suite καταδεικνύει πώς οι περιορισμένου εύρους επεκτάσεις προγράμματος περιήγησης μπορούν να συγκαλύψουν την επιθετική συλλογή δεδομένων ως νόμιμες βελτιώσεις στη ροή εργασίας. Χαρακτηριστικά όπως η εξαγωγή επαφών, η συλλογή αναλυτικών στοιχείων, η καταστολή αναδυόμενων παραθύρων επαλήθευσης και η δημιουργία 2FA εντός προγράμματος περιήγησης δεν είναι ουδέτερα βοηθητικά προγράμματα. Αντίθετα, λειτουργούν ως ειδικά κατασκευασμένα scrapers που έχουν σχεδιαστεί για να απορροφούν λίστες επαφών, μεταδεδομένα και υλικό ελέγχου ταυτότητας απευθείας από πιστοποιημένες επιχειρηματικές διεπαφές Meta.

Ενσωματώνοντας τις επεκτάσεις σε αξιόπιστες ροές εργασίας, αυτές οι επεκτάσεις παρακάμπτουν την υποψία των χρηστών και λειτουργούν εντός των ορίων ασφαλείας των ενεργών περιόδων λειτουργίας.

Η καμπάνια AiFrame: Οι βοηθοί τεχνητής νοημοσύνης μετατράπηκαν σε διακομιστές δεδομένων

Σε μια ξεχωριστή αλλά συντονισμένη καμπάνια με την ονομασία AiFrame, οι ερευνητές αποκάλυψαν 32 επεκτάσεις προγράμματος περιήγησης που διατίθενται στο εμπόριο ως βοηθοί με τεχνητή νοημοσύνη για σύνοψη, συνομιλία, υποστήριξη γραφής και παραγωγικότητα στο Gmail. Συνολικά, αυτά τα πρόσθετα έχουν συγκεντρώσει περισσότερες από 260.000 εγκαταστάσεις.

Ενώ φαίνονται νόμιμες, οι επεκτάσεις βασίζονται σε μια απομακρυσμένη αρχιτεκτονική που βασίζεται σε διακομιστή. Αντί να επεξεργάζονται δεδομένα τοπικά, ενσωματώνουν επικαλύψεις iframe πλήρους οθόνης που συνδέονται με τον τομέα claude.tapnetic[.]pro. Αυτός ο σχεδιασμός επιτρέπει στους χειριστές να εισάγουν δυναμικά νέες δυνατότητες χωρίς να εκδίδουν ενημερώσεις μέσω του Chrome Web Store.

Μόλις αναπτυχθούν, αυτές οι επεκτάσεις λειτουργούν ως προνομιούχοι ενδιάμεσοι μεταξύ του προγράμματος περιήγησης και της απομακρυσμένης υποδομής. Όταν ενεργοποιηθούν, ελέγχουν την ενεργή καρτέλα και χρησιμοποιούν τη βιβλιοθήκη αναγνωσιμότητας του Mozilla για την εξαγωγή περιεχομένου άρθρου. Πρόσθετες δυνατότητες περιλαμβάνουν την ενεργοποίηση της αναγνώρισης ομιλίας και τη μετάδοση καταγεγραμμένων μεταγραφών σε εξωτερικούς διακομιστές.

Ένα υποσύνολο των επεκτάσεων στοχεύει συγκεκριμένα στο Gmail. Όταν οι χρήστες έχουν πρόσβαση στο mail.google.com και ενεργοποιούν λειτουργίες απάντησης ή σύνοψης που βασίζονται σε τεχνητή νοημοσύνη, το ορατό περιεχόμενο email εξάγεται απευθείας από το μοντέλο αντικειμένου εγγράφου (DOM) και μεταδίδεται σε συστήματα backend τρίτων που ελέγχονται από τους χειριστές. Κατά συνέπεια, το περιεχόμενο email και τα μεταδεδομένα περιβάλλοντος ενδέχεται να μεταφερθούν πέρα από το προστατευμένο περιβάλλον του Gmail σε απομακρυσμένους διακομιστές χωρίς σαφή επίγνωση του χρήστη.

Κατάχρηση Επεκτάσεων Μεγάλης Κλίμακας και Μεσιτεία Δεδομένων

Η κακή χρήση των επεκτάσεων του προγράμματος περιήγησης δεν περιορίζεται σε μεμονωμένες εκστρατείες. Οι ερευνητές έχουν επίσης εντοπίσει 287 επεκτάσεις Chrome που έχουν εγκατασταθεί συνολικά 37,4 εκατομμύρια φορές, περίπου το 1% της παγκόσμιας βάσης χρηστών του Chrome, και οι οποίες διαβιβάζουν το ιστορικό περιήγησης σε μεσίτες δεδομένων.

Προηγούμενες έρευνες έχουν δείξει πώς τα δεδομένα περιήγησης που συλλέγονται συγκεντρώνονται και αξιοποιούνται σε έσοδα από εταιρείες όπως η Similarweb και η Alexa. Αυτά τα ευρήματα υπογραμμίζουν την κλίμακα στην οποία μπορεί να λειτουργήσει η παρακολούθηση που βασίζεται σε επεκτάσεις.

Ενίσχυση της άμυνας ενάντια σε κακόβουλες επεκτάσεις

Δεδομένου του κλιμακούμενου τοπίου απειλών, οι οργανισμοί και οι μεμονωμένοι χρήστες θα πρέπει να υιοθετήσουν πειθαρχημένες πρακτικές διαχείρισης επεκτάσεων. Τα αποτελεσματικά αμυντικά μέτρα περιλαμβάνουν:

  • Εγκατάσταση μόνο βασικών, καλά ελεγμένων επεκτάσεων από επίσημες αγορές
  • Διεξαγωγή περιοδικών ελέγχων των εγκατεστημένων επεκτάσεων για την ανίχνευση υπερβολικών δικαιωμάτων ή ασυνήθιστης συμπεριφοράς
  • Χρήση ξεχωριστών προφίλ προγράμματος περιήγησης για ευαίσθητες δραστηριότητες
  • Εφαρμογή καταχώρισης επιτρεπόμενων επεκτάσεων σε εταιρικά περιβάλλοντα για τον αποκλεισμό μη εξουσιοδοτημένων ή μη συμβατών προσθέτων

    • Οι επεκτάσεις του προγράμματος περιήγησης λειτουργούν με σημαντικά προνόμια εντός αξιόπιστων περιόδων σύνδεσης. Χωρίς αυστηρή εποπτεία, μπορούν να γίνουν ισχυροί αγωγοί για την εξαγωγή δεδομένων και την παραβίαση διαπιστευτηρίων.

    System Messages

    The following system messages may be associated with Επεκτάσεις Chrome του Infostealer:

    The names of the malicious extensions are:

    AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
    Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
    Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
    AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
    ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
    AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
    Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
    Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
    ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
    Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
    Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
    Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
    XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
    Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
    Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
    AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
    AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
    AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
    AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
    AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
    AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
    Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
    Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
    DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
    AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
    Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
    DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
    ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
    ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
    AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
    ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
    Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    26,168
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...