Infostealer Chromen laajennukset

Tietoturva-analyytikot ovat tunnistaneet haitallisen Google Chrome -laajennuksen, joka on suunniteltu keräämään arkaluonteisia tietoja Meta Business -ympäristöistä. Laajennus, CL Suite by @CLMasters, esittelee itsensä tuottavuustyökaluna Meta Business Suiten ja Facebook Business Managerin käyttäjille. Laajennusta mainostettiin apuohjelmana yritystietojen kaapimiseen, vahvistuskehotteiden ohittamiseen ja kaksivaiheisen todennuskoodien (2FA) luomiseen, ja se julkaistiin Chrome Web Storessa 1. maaliskuuta 2025.

Vaikka tietosuojakäytännössään väitetään, että 2FA-salaisuudet ja Business Manager -tiedot pysyvät rajoitettuina paikalliseen ympäristöön, tekninen analyysi paljastaa toisenlaisen todellisuuden. Laajennus pyytää laajoja käyttöoikeuksia meta.com- ja facebook.com-verkkotunnuksiin ja lähettää salaa arkaluonteisia tietoja hyökkääjän hallitsemaan infrastruktuuriin.

Salaiset tiedonkeruuominaisuudet

Laajennus kerää ja vie hiljaisesti arvokasta dataa todennetuista Meta-istunnoista. Poistetut tiedot lähetetään getauth[.]pro-palvelimella sijaitsevaan taustajärjestelmään, jossa on valinnainen mekanismi samojen hyötykuormien välittämiseksi uhkatoimijan ylläpitämälle Telegram-kanavalle.

Laajennuksen kaikki tiedonkeruutoiminnot kattavat seuraavat:

• TOTP-siementen ja aktiivisten 2FA-koodien varastaminen, joita käytettiin Meta- ja Facebook Business -tilien suojaamiseen
• Liiketoiminnan päällikön "Henkilötiedot" -osion tietojen poiminta CSV-tiedostoiksi, jotka sisältävät nimet, sähköpostiosoitteet, määritetyt roolit, käyttöoikeustasot ja käyttöoikeustilat
• Business Manager -yksiköiden ja linkitettyjen resurssien luettelo, mukaan lukien mainostilit, niihin liittyvät sivut, resurssien yhteydet, laskutusasetukset ja maksutiedot

Vaikka lisäosa ei suoraan kaappaa salasanoja, hyökkääjät voivat yhdistää varastetut aikaan perustuvat kertakäyttöiset salasanat tietovarkaiden lokitiedoista tai vuotaneista tietokannoista saatuihin tunnistetietoihin saadakseen luvattoman tilin käyttöoikeuden.

Tietoturvatutkijat varoittavat, että jopa suhteellisen pienellä asennuskannalla kerätty tiedustelutieto riittää tunnistamaan arvokkaat yrityskohteet ja mahdollistamaan jatkohyökkäykset.

Tuottavuuden naamioima raapiminen

CL Suiten tapaus havainnollistaa, kuinka kapeasti rajatut selainlaajennukset voivat peittää aggressiivisen tiedonkeruun laillisiksi työnkulun parannuksiksi. Ominaisuudet, kuten yhteystietojen poiminta, analytiikkatietojen kerääminen, vahvistusponnahdusikkunoiden estäminen ja selaimessa tapahtuva 2FA-luonti, eivät ole neutraaleja apuohjelmia. Sen sijaan ne toimivat tarkoitukseen rakennettuina kaapijoina, jotka on suunniteltu keräämään yhteystietoluetteloita, metatietoja ja todennusmateriaalia suoraan todennetuista Meta-liiketoimintaliittymistä.

Upottamalla itsensä luotettaviin työnkulkuihin tällaiset laajennukset ohittavat käyttäjien epäilykset ja toimivat aktiivisten istuntojen turvallisuusrajojen sisällä.

AiFrame-kampanja: Tekoälyavustajista tuli datan välikäsiä

Erillisessä mutta koordinoidussa AiFrame-kampanjassa tutkijat paljastivat 32 selainlaajennusta, joita markkinoitiin tekoälypohjaisina avustajina yhteenvetoja, keskustelua, kirjoitustukea ja Gmailin tuottavuutta varten. Yhteensä näille lisäosille on kertynyt yli 260 000 asennusta.

Vaikka laajennukset vaikuttavat laillisilta, ne perustuvat etäkäyttöiseen, palvelinpohjaiseen arkkitehtuuriin. Sen sijaan, että ne käsittelisivät tietoja paikallisesti, ne upottavat koko näytön iframe-peittokuviin, jotka muodostavat yhteyden verkkotunnukseen claude.tapnetic[.]pro. Tämä rakenne mahdollistaa operaattoreille uusien ominaisuuksien dynaamisen käyttöönoton ilman päivitysten julkaisemista Chrome Web Storen kautta.

Käyttöönoton jälkeen nämä laajennukset toimivat etuoikeutettuina välittäjinä selaimen ja etäinfrastruktuurin välillä. Käynnistyessään ne tarkastavat aktiivisen välilehden ja käyttävät Mozillan Readability-kirjastoa artikkelin sisällön poimimiseen. Lisäominaisuuksiin kuuluvat puheentunnistuksen käynnistäminen ja tallennettujen transkriptioiden lähettäminen ulkoisille palvelimille.

Osa laajennuksista on suunnattu erityisesti Gmailille. Kun käyttäjät käyttävät mail.google.com-sivustoa ja aktivoivat tekoälypohjaisia vastaus- tai yhteenvetotoimintoja, näkyvä sähköpostisisältö poimitaan suoraan dokumenttiobjektimallista (DOM) ja lähetetään operaattoreiden hallinnoimiin kolmannen osapuolen taustajärjestelmiin. Tämän seurauksena sähköpostisisältö ja kontekstuaaliset metatiedot voidaan siirtää Gmailin suojatun ympäristön ulkopuolelle etäpalvelimille ilman käyttäjän selkeää tietoisuutta.

Laajamittainen laajennusten väärinkäyttö ja tiedonvälitys

Selainlaajennusten väärinkäyttö ei rajoitu yksittäisiin kampanjoihin. Tutkijat ovat myös tunnistaneet 287 Chrome-laajennusta, jotka on asennettu yhteensä 37,4 miljoonaa kertaa, mikä on noin 1 % Chromen maailmanlaajuisesta käyttäjäkunnasta, ja jotka vuotavat selaushistorioita tiedonvälittäjille.

Aiemmat tutkimukset ovat osoittaneet, miten yritykset, kuten Similarweb ja Alexa, kokoavat ja rahaksi muuttavat kerättyä selausdataa. Nämä havainnot korostavat laajennuspohjaisen valvonnan toiminnan laajuutta.

Haitallisia laajennuksia vastaan suojautumisen vahvistaminen

Kasvavan uhkatilanteen vuoksi organisaatioiden ja yksittäisten käyttäjien tulisi ottaa käyttöön kurinalaisia laajennusten hallintakäytäntöjä. Tehokkaisiin puolustustoimenpiteisiin kuuluvat:

• Asenna vain välttämättömiä ja hyvin arvosteltuja laajennuksia virallisilta markkinapaikoilta
• Suorittamalla asennettujen laajennusten säännöllisiä tarkastuksia liiallisten käyttöoikeuksien tai poikkeavan toiminnan havaitsemiseksi

• Erillisten selainprofiilien käyttäminen arkaluontoisiin toimintoihin

• Laajennusten sallittujen listausten käyttöönotto yritysympäristöissä luvattomien tai vaatimustenvastaisten lisäosien estämiseksi

Selainlaajennuksilla on merkittäviä käyttöoikeuksia luotettujen istuntojen sisällä. Ilman tiukkaa valvontaa niistä voi tulla tehokkaita kanavia tiedon vuotamiselle ja tunnistetietojen vaarantumiselle.