Infostealer Chrome'i laiendused

Turvaanalüütikud on tuvastanud petturliku Google Chrome'i laienduse, mis on loodud tundlike andmete kogumiseks Meta Business keskkondadest. Laiendus, CL Suite by @CLMasters, esitleb end Meta Business Suite'i ja Facebook Business Manageri kasutajatele mõeldud tootlikkuse tööriistana. Seda reklaamiti kui utiliiti äriandmete kraapimiseks, kinnitusküsimuste möödahiilimiseks ja kahefaktorilise autentimise (2FA) koodide genereerimiseks ning see avaldati Chrome'i veebipoes 1. märtsil 2025.

Kuigi privaatsuspoliitikas väidetakse, et 2FA saladused ja Business Manageri andmed jäävad piiratuks kohaliku keskkonnaga, näitab tehniline analüüs teistsugust reaalsust. Laiendus taotleb ulatuslikke õigusi meta.com ja facebook.com domeenide üle ning edastab salaja tundlikku teavet ründaja kontrollitavale infrastruktuurile.

Varjatud andmete väljavoolu võimalused

Laiendus kogub ja ekspordib vaikselt autentitud Meta-seanssidest väärtuslikke andmeid. Väljafiltreeritud teave saadetakse getauth[.]pro-s hostitud serverisse, millel on valikuline mehhanism sama teabe edastamiseks ohu tekitaja hallatavale Telegrami kanalile.

Laienduse andmete kogumise funktsionaalsuse täielik ulatus hõlmab järgmist:

• TOTP seemnete ja aktiivsete 2FA koodide vargus, mida kasutati Meta ja Facebooki ärikontode turvamiseks
• Ärijuhi „Inimesed” andmete väljavõte, mis on koondatud CSV-failidesse, mis sisaldavad nimesid, e-posti aadresse, määratud rolle, õiguste tasemeid ja juurdepääsu staatusi
• Business Manageri üksuste ja lingitud varade loetelu, sh reklaamikontod, seotud lehed, varade ühendused, arvelduskonfiguratsioonid ja makseandmed

Kuigi lisandmoodul paroole otse ei jäädvusta, saavad ründajad varastatud ajapõhised ühekordsed paroolid kombineerida infovaraste logidest või lekkinud andmebaasidest pärit volitustega, et saada volitamata juurdepääs kontole.

Turvaeksperdid hoiatavad, et isegi suhteliselt väikese paigaldusbaasi korral on kogutud luureandmetest piisav, et tuvastada väärtuslikke ettevõtete sihtmärke ja hõlbustada järelrünnakuid.

Kraapimine maskeerub tootlikkuseks

CL Suite'i juhtum illustreerib, kuidas kitsalt piiratud brauserilaiendid võivad varjata agressiivset andmete kogumist õigustatud töövoo täiustustena. Funktsioonid, nagu kontaktide ekstraheerimine, analüütika kogumine, hüpikaknade blokeerimine ja brauserisisene 2FA genereerimine, ei ole neutraalsed utiliidid. Selle asemel toimivad need spetsiaalselt loodud skreeperitena, mis on loodud kontaktide loendite, metaandmete ja autentimismaterjali otse autentitud Meta äriliidestest hankimiseks.

Usaldusväärsetesse töövoogudesse integreerides mööduvad sellised laiendused kasutajate kahtlustest ja toimivad aktiivsete seansside turvapiiride piires.

AiFrame’i kampaania: tehisintellekti assistendid muutusid andmeesindajateks

Eraldi, kuid koordineeritud kampaanias nimega AiFrame avastasid teadlased 32 brauserilaiendust, mida turustati tehisintellektil põhinevate abilistena kokkuvõtete tegemiseks, vestluseks, kirjutamise toetamiseks ja Gmaili tootlikkuse suurendamiseks. Kokku on neid lisandmooduleid installitud üle 260 000 korra.

Kuigi laiendused näivad olevat legitiimsed, tuginevad need serveripõhisele arhitektuurile. Andmete lokaalse töötlemise asemel manustavad nad täisekraani iframe-ülekatteid, mis ühenduvad domeeniga claude.tapnetic[.]pro. See disain võimaldab operaatoritel dünaamiliselt uusi funktsioone lisada ilma Chrome'i veebipoe kaudu värskendusi avaldamata.

Pärast juurutamist toimivad need laiendused brauseri ja kauginfrastruktuuri vahelise privilegeeritud vahendajatena. Käivitamisel kontrollivad nad aktiivset vahelehte ja kasutavad artikli sisu ekstraheerimiseks Mozilla loetavuse teeki. Lisavõimaluste hulka kuuluvad kõnetuvastuse käivitamine ja jäädvustatud transkriptsioonide edastamine välistele serveritele.

Laienduste alamhulk on suunatud spetsiaalselt Gmailile. Kui kasutajad avavad mail.google.com-i ja aktiveerivad tehisintellektil põhinevad vastamis- või kokkuvõtefunktsioonid, ekstraheeritakse nähtav meilisisu otse dokumendiobjektimudelist (DOM) ja edastatakse operaatorite hallatavatele kolmandate osapoolte taustsüsteemidele. Seetõttu võidakse meilisisu ja kontekstuaalsed metaandmed edastada Gmaili kaitstud keskkonnast kaugserveritesse ilma kasutaja selge teadmata.

Ulatuslik laienduste kuritarvitamine ja andmete vahendamine

Brauserilaienduste väärkasutamine ei piirdu ainult üksikute kampaaniatega. Teadlased on tuvastanud ka 287 Chrome'i laiendust, mis on kokku installitud 37,4 miljonit korda, mis moodustab ligikaudu 1% kogu Chrome'i kasutajaskonnast ja mis filtreerivad sirvimisajalugu andmevahendajatele.

Varasemad uuringud on näidanud, kuidas ettevõtted nagu Similarweb ja Alexa kogutud sirvimisandmeid koondavad ja rahaks teevad. Need leiud rõhutavad laienduspõhise jälgimise ulatust.

Kaitse tugevdamine pahatahtlike laienduste vastu

Arvestades eskaleeruvat ohumaastikku, peaksid organisatsioonid ja üksikud kasutajad võtma kasutusele distsiplineeritud laienduste haldamise tavad. Tõhusad kaitsemeetmed hõlmavad järgmist:

• Ainult oluliste ja hästi hinnatud laienduste installimine ametlikelt turuplatsidelt
• Paigaldatud laienduste perioodiliste auditite läbiviimine liigsete õiguste või anomaalse käitumise tuvastamiseks

• Eraldi brauseriprofiilide kasutamine tundlike tegevuste jaoks

• Laienduste lubatud nimekirja rakendamine ettevõttekeskkondades volitamata või nõuetele mittevastavate lisandmoodulite blokeerimiseks

Brauserilaiendid toimivad usaldusväärsete seansside sees märkimisväärsete õigustega. Ilma range järelevalveta võivad need muutuda võimsateks kanaliteks andmete lekkimiseks ja volituste rikkumiseks.