הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוספי כרום של Infostealer

תוספי כרום של Infostealer

עד Mezo ב-תוכנה זדונית, גונבים
לתרגם ל:

אנליסטים של אבטחה זיהו תוסף סורר לגוגל כרום שתוכנן לאסוף נתונים רגישים מסביבות Meta Business. התוסף, CL Suite by @CLMasters, מציג את עצמו ככלי פרודוקטיביות עבור משתמשי Meta Business Suite ו-Facebook Business Manager. התוסף, שקודם ככלי עזר לאיסוף נתונים עסקיים, עקיפת בקשות אימות ויצירת קודי אימות דו-שלבי (2FA), פורסם בחנות האינטרנט של כרום ב-1 במרץ 2025.

למרות טענות במדיניות הפרטיות שלה לפיהן סודות דו-שלביים (2FA) ונתוני Business Manager נותרים מוגבלים לסביבה המקומית, ניתוח טכני חושף מציאות שונה. ההרחבה מבקשת הרשאות נרחבות על הדומיינים meta.com ו-facebook.com ומשדרת בסתר מידע רגיש לתשתית הנשלטת על ידי תוקפים.

יכולות חילוץ נתונים חשאיות

ההרחבה אוספת ומייצאת באופן שקט נתונים בעלי ערך גבוה מ-Meta sessions מאומתים. מידע מסונן נשלח לשרת backend המתארח ב-getauth[.]pro, עם מנגנון אופציונלי להעברת אותם מטענים לערוץ Telegram המופעל על ידי גורם האיום.

היקף מלא של פונקציונליות איסוף הנתונים של ההרחבה כולל:

  • גניבת זרעי TOTP וקודי 2FA פעילים המשמשים לאבטחת חשבונות Meta ו-Facebook Business
  • חילוץ נתוני 'אנשים' של מנהל עסקים, אשר נאספו לקבצי CSV המכילים שמות, כתובות דוא"ל, תפקידים שהוקצו, רמות הרשאה וסטטוסי גישה.
  • פירוט של ישויות Business Manager ונכסים מקושרים, כולל חשבונות מודעות, דפים משויכים, חיבורי נכסים, תצורות חיוב ופרטי תשלום

למרות שהתוסף אינו לוכד סיסמאות ישירות, תוקפים עלולים לשלב את הסיסמאות החד-פעמיות הגנובות מבוססות הזמן עם אישורים שמקורם ביומני גניבת מידע או במסדי נתונים שדלפו כדי לקבל גישה לא מורשית לחשבון.

חוקרי אבטחה מזהירים כי אפילו עם בסיס התקנות קטן יחסית, המודיעין שנאסף מספיק כדי לזהות מטרות ארגוניות בעלות ערך גבוה ולהקל על התקפות המשך.

גירוד במסווה של פרודוקטיביות

המקרה של CL Suite ממחיש כיצד הרחבות דפדפן בעלות היקף מצומצם יכולות להסוות איסוף נתונים אגרסיבי כשיפורי זרימת עבודה לגיטימיים. תכונות כגון חילוץ אנשי קשר, איסוף ניתוח נתונים, דיכוי חלונות קופצים לאימות ויצירת דו-שלבי (2FA) בדפדפן אינן כלי עזר ניטרליים. במקום זאת, הן מתפקדות כמגרדות ייעודיות שתוכננו לשאוב רשימות אנשי קשר, מטא-נתונים וחומרי אימות ישירות מממשקי מטא עסקיים מאומתים.

על ידי הטמעת עצמן בזרימות עבודה מהימנות, הרחבות כאלה עוקפות את חשדנות המשתמשים ופועלות במסגרת גבולות האבטחה של הפעלות פעילות.

קמפיין AiFrame: עוזרי בינה מלאכותית הפכו לפרוקסי נתונים

בקמפיין נפרד אך מתואם בשם AiFrame, חשפו חוקרים 32 הרחבות דפדפן ששווקו כעוזרות מבוססות בינה מלאכותית לסיכום, צ'אט, תמיכה בכתיבה ופרודוקטיביות ב-Gmail. יחד, תוספים אלה צברו יותר מ-260,000 התקנות.

למרות שנראה שהם לגיטימיים, התוספים מסתמכים על ארכיטקטורה מרוחקת המונחית על ידי שרת. במקום לעבד נתונים באופן מקומי, הם מטמיעים שכבות של iframe במסך מלא המתחברות לדומיין claude.tapnetic[.]pro. עיצוב זה מאפשר למפעילים להציג יכולות חדשות באופן דינמי מבלי להוציא עדכונים דרך חנות האינטרנט של Chrome.

לאחר הפריסה, הרחבות אלו משמשות כמתווכים מועדפים בין הדפדפן לתשתית מרוחקת. כאשר הן מופעלות, הן בודקות את הכרטיסייה הפעילה ומשתמשות בספריית הקריאה של מוזילה כדי לחלץ תוכן מאמר. יכולות נוספות כוללות הפעלת זיהוי דיבור ושידור תמלילים שנלכדו לשרתים חיצוניים.

תת-קבוצה של התוספים מכוונת ספציפית ל-Gmail. כאשר משתמשים ניגשים לאתר mail.google.com ומפעילים תכונות תשובה או סיכום המונעות על ידי בינה מלאכותית, תוכן דוא"ל גלוי מופק ישירות ממודל אובייקט המסמך (DOM) ומועבר למערכות צד שלישי הנשלטות על ידי המפעילים. כתוצאה מכך, תוכן דוא"ל ומטא-נתונים הקשריים עשויים להיות מועברים מעבר לסביבה המוגנת של Gmail לשרתים מרוחקים ללא מודעות ברורה של המשתמש.

ניצול לרעה של הרחבות ותיווך נתונים בקנה מידה גדול

השימוש לרעה בתוספי דפדפן אינו מוגבל לקמפיינים בודדים. חוקרים זיהו גם 287 תוספי Chrome שהותקנו יחד 37.4 מיליון פעמים, כ-1% מבסיס משתמשי Chrome העולמי, ומעבירים היסטוריית גלישה למתווכי נתונים.

מחקרים קודמים הראו כיצד נתוני גלישה שנאספו נצברים וממומנים על ידי חברות כמו Similarweb ו-Alexa. ממצאים אלה מדגישים את קנה המידה שבו מעקב מבוסס הרחבות יכול לפעול.

חיזוק ההגנה מפני הרחבות זדוניות

בהינתן נוף האיומים ההולך וגובר, ארגונים ומשתמשים בודדים צריכים לאמץ שיטות ניהול הרחבות ממושמעות. אמצעי הגנה יעילים כוללים:

  • התקנת תוספים חיוניים שנבדקו היטב בלבד משווקים רשמיים
  • ביצוע ביקורות תקופתיות של הרחבות מותקנות כדי לזהות הרשאות עודפות או התנהגות חריגה
  • שימוש בפרופילי דפדפן נפרדים עבור פעילויות רגישות
  • יישום רשימת היתרים של הרחבות בסביבות ארגוניות כדי לחסום תוספים לא מורשים או שאינם תואמים

    • הרחבות דפדפן פועלות עם הרשאות משמעותיות בתוך סשנים מהימנים. ללא פיקוח קפדני, הן עלולות להפוך לצינורות רבי עוצמה לחילוץ נתונים ופריצת אישורים.

    System Messages

    The following system messages may be associated with תוספי כרום של Infostealer:

    The names of the malicious extensions are:

    AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
    Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
    Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
    AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
    ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
    AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
    Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
    Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
    ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
    Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
    Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
    Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
    XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
    Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
    Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
    AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
    AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
    AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
    AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
    AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
    AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
    Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
    Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
    DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
    AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
    Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
    DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
    ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
    ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
    AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
    ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
    Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    26,168
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...