इंफोस्टीलर क्रोम एक्सटेंशन

सुरक्षा विश्लेषकों ने एक ऐसे गूगल क्रोम एक्सटेंशन की पहचान की है जिसे मेटा बिजनेस वातावरण से संवेदनशील डेटा चुराने के लिए बनाया गया है। @CLMasters द्वारा विकसित CL Suite नामक यह एक्सटेंशन, मेटा बिजनेस सूट और फेसबुक बिजनेस मैनेजर के उपयोगकर्ताओं के लिए एक उत्पादकता उपकरण के रूप में प्रस्तुत किया गया है। व्यावसायिक डेटा स्क्रैप करने, सत्यापन प्रॉम्प्ट को बायपास करने और दो-कारक प्रमाणीकरण (2FA) कोड उत्पन्न करने के लिए एक यूटिलिटी के रूप में प्रचारित, इसे 1 मार्च, 2025 को क्रोम वेब स्टोर पर प्रकाशित किया गया था।

अपनी गोपनीयता नीति में किए गए दावों के बावजूद कि 2FA सीक्रेट्स और बिज़नेस मैनेजर डेटा स्थानीय वातावरण तक ही सीमित रहते हैं, तकनीकी विश्लेषण एक अलग ही सच्चाई उजागर करता है। यह एक्सटेंशन meta.com और facebook.com डोमेन पर व्यापक अनुमतियाँ मांगता है और हमलावर द्वारा नियंत्रित बुनियादी ढांचे को संवेदनशील जानकारी गुप्त रूप से भेजता है।

गुप्त डेटा निराकरण क्षमताएँ

यह एक्सटेंशन प्रमाणित मेटा सत्रों से उच्च-मूल्यवान डेटा को चुपचाप एकत्र करता है और निर्यात करता है। एकत्रित जानकारी को getauth[.]pro पर होस्ट किए गए बैकएंड पर भेजा जाता है, जिसमें हमलावर द्वारा संचालित टेलीग्राम चैनल पर समान पेलोड अग्रेषित करने का एक वैकल्पिक तंत्र भी शामिल है।

इस एक्सटेंशन की डेटा-संग्रह कार्यक्षमता के पूर्ण दायरे में निम्नलिखित शामिल हैं:

• मेटा और फेसबुक बिजनेस खातों को सुरक्षित करने के लिए उपयोग किए जाने वाले TOTP सीड्स और सक्रिय 2FA कोड की चोरी
• बिजनेस मैनेजर के 'पीपल' डेटा को निकालकर CSV फ़ाइलों में संकलित किया गया है, जिनमें नाम, ईमेल पते, निर्धारित भूमिकाएँ, अनुमति स्तर और पहुँच की स्थिति शामिल हैं।
• बिज़नेस मैनेजर संस्थाओं और उनसे जुड़े एसेट्स की सूची, जिसमें विज्ञापन खाते, संबद्ध पृष्ठ, एसेट कनेक्शन, बिलिंग कॉन्फ़िगरेशन और भुगतान विवरण शामिल हैं।

हालांकि यह ऐड-ऑन सीधे तौर पर पासवर्ड कैप्चर नहीं करता है, लेकिन हमलावर चुराए गए समय-आधारित वन-टाइम पासवर्ड को इन्फोस्टीलर लॉग या लीक हुए डेटाबेस से प्राप्त क्रेडेंशियल्स के साथ मिलाकर अनधिकृत खाता एक्सेस प्राप्त कर सकते हैं।

सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि अपेक्षाकृत कम संख्या में इंस्टॉलेशन होने पर भी, जुटाई गई खुफिया जानकारी उच्च मूल्य वाले कॉर्पोरेट लक्ष्यों की पहचान करने और आगे के हमलों को सुविधाजनक बनाने के लिए पर्याप्त है।

उत्पादकता के भेष में की जाने वाली निरर्थकता

सीएल सूट का मामला यह दर्शाता है कि कैसे सीमित दायरे वाले ब्राउज़र एक्सटेंशन आक्रामक डेटा संग्रहण को वैध वर्कफ़्लो संवर्द्धन के रूप में छिपा सकते हैं। संपर्क निष्कर्षण, विश्लेषण संग्रह, सत्यापन पॉप-अप दमन और इन-ब्राउज़र 2FA निर्माण जैसी सुविधाएँ सामान्य उपयोगिताएँ नहीं हैं। बल्कि, वे विशेष रूप से निर्मित स्क्रैपर के रूप में कार्य करती हैं जिन्हें प्रमाणित मेटा व्यावसायिक इंटरफेस से सीधे संपर्क सूचियाँ, मेटाडेटा और प्रमाणीकरण सामग्री निकालने के लिए डिज़ाइन किया गया है।

विश्वसनीय वर्कफ़्लो में स्वयं को एकीकृत करके, ऐसे एक्सटेंशन उपयोगकर्ता के संदेह को दरकिनार कर देते हैं और सक्रिय सत्रों की सुरक्षा सीमाओं के भीतर काम करते हैं।

एआईफ्रेम अभियान: एआई सहायक डेटा प्रॉक्सी में परिवर्तित हो गए

एआईफ्रेम नामक एक अलग लेकिन समन्वित अभियान में, शोधकर्ताओं ने 32 ब्राउज़र एक्सटेंशन का पता लगाया, जिन्हें सारांश, चैट, लेखन सहायता और जीमेल उत्पादकता के लिए एआई-संचालित सहायक के रूप में बेचा जा रहा था। इन ऐड-ऑन को मिलाकर 260,000 से अधिक बार इंस्टॉल किया जा चुका है।

देखने में वैध लगने के बावजूद, ये एक्सटेंशन रिमोट, सर्वर-आधारित आर्किटेक्चर पर निर्भर करते हैं। डेटा को स्थानीय रूप से प्रोसेस करने के बजाय, ये फुल-स्क्रीन आईफ़्रेम ओवरले एम्बेड करते हैं जो claude.tapnetic[.]pro डोमेन से कनेक्ट होते हैं। यह डिज़ाइन ऑपरेटरों को क्रोम वेब स्टोर के माध्यम से अपडेट जारी किए बिना गतिशील रूप से नई क्षमताएं जोड़ने में सक्षम बनाता है।

एक बार तैनात होने के बाद, ये एक्सटेंशन ब्राउज़र और रिमोट इंफ्रास्ट्रक्चर के बीच विशेषाधिकार प्राप्त मध्यस्थ के रूप में कार्य करते हैं। सक्रिय होने पर, ये सक्रिय टैब की जांच करते हैं और लेख की सामग्री निकालने के लिए मोज़िला की रीडेबिलिटी लाइब्रेरी का उपयोग करते हैं। अतिरिक्त क्षमताओं में वाक् पहचान शुरू करना और कैप्चर किए गए ट्रांसक्रिप्ट को बाहरी सर्वरों पर भेजना शामिल है।

कुछ एक्सटेंशन विशेष रूप से जीमेल को लक्षित करते हैं। जब उपयोगकर्ता mail.google.com पर जाते हैं और AI-आधारित उत्तर या सारांश सुविधाएँ सक्रिय करते हैं, तो दिखाई देने वाली ईमेल सामग्री सीधे दस्तावेज़ ऑब्जेक्ट मॉडल (DOM) से निकाली जाती है और ऑपरेटरों द्वारा नियंत्रित तृतीय-पक्ष बैकएंड सिस्टम में भेजी जाती है। परिणामस्वरूप, ईमेल सामग्री और प्रासंगिक मेटाडेटा उपयोगकर्ता की जानकारी के बिना जीमेल के सुरक्षित वातावरण से बाहर दूरस्थ सर्वरों पर स्थानांतरित हो सकते हैं।

बड़े पैमाने पर विस्तार का दुरुपयोग और डेटा की दलाली

ब्राउज़र एक्सटेंशन का दुरुपयोग केवल छिटपुट अभियानों तक सीमित नहीं है। शोधकर्ताओं ने 287 क्रोम एक्सटेंशन की पहचान की है जिन्हें सामूहिक रूप से 37.4 मिलियन बार इंस्टॉल किया गया है, जो वैश्विक क्रोम उपयोगकर्ता आधार का लगभग 1% है, और जो ब्राउज़िंग इतिहास को डेटा ब्रोकरों तक पहुंचाते हैं।

पिछली जांचों से पता चला है कि कैसे सिमिलरवेब और एलेक्सा जैसी कंपनियां ब्राउज़िंग डेटा को एकत्रित करके उससे पैसा कमाती हैं। ये निष्कर्ष एक्सटेंशन-आधारित निगरानी के व्यापक प्रभाव को रेखांकित करते हैं।

दुर्भावनापूर्ण विस्तारों के विरुद्ध रक्षा को मजबूत करना

बढ़ते खतरे को देखते हुए, संगठनों और व्यक्तिगत उपयोगकर्ताओं को अनुशासित एक्सटेंशन प्रबंधन पद्धतियों को अपनाना चाहिए। प्रभावी सुरक्षा उपायों में निम्नलिखित शामिल हैं:

• केवल आधिकारिक बाज़ारों से आवश्यक और अच्छी समीक्षा वाले एक्सटेंशन ही इंस्टॉल करें।
• अत्यधिक अनुमतियों या असामान्य व्यवहार का पता लगाने के लिए स्थापित एक्सटेंशनों का समय-समय पर ऑडिट करना।

ब्राउज़र एक्सटेंशन विश्वसनीय सत्रों के भीतर महत्वपूर्ण विशेषाधिकारों के साथ काम करते हैं। कड़ी निगरानी के बिना, वे डेटा की चोरी और क्रेडेंशियल के दुरुपयोग के शक्तिशाली माध्यम बन सकते हैं।