Ponuda s popustom na više licenci
Baza prijetnji Malware Infostealer Chromeova proširenja

Infostealer Chromeova proširenja

Do Mezo. Malware, kradljivci. godine
Prevedi na:

Sigurnosni analitičari identificirali su lažno proširenje za Google Chrome dizajnirano za prikupljanje osjetljivih podataka iz Meta Business okruženja. Proširenje, CL Suite tvrtke @CLMasters, predstavlja se kao alat za produktivnost za korisnike Meta Business Suitea i Facebook Business Managera. Promovirano kao uslužni program za prikupljanje poslovnih podataka, zaobilaženje upita za provjeru i generiranje kodova za dvofaktorsku autentifikaciju (2FA), objavljeno je u Chrome web trgovini 1. ožujka 2025.

Unatoč tvrdnjama u politici privatnosti da tajne 2FA i podaci Business Managera ostaju ograničeni na lokalno okruženje, tehnička analiza otkriva drugačiju stvarnost. Proširenje zahtijeva opsežne dozvole za domene meta.com i facebook.com te prikriveno prenosi osjetljive informacije infrastrukturi koju kontroliraju napadači.

Mogućnosti tajnog izvlačenja podataka

Proširenje tiho prikuplja i izvozi visokovrijedne podatke iz autentificiranih meta sesija. Izvučene informacije šalju se na pozadinski sustav smješten na getauth[.]pro, s opcionalnim mehanizmom za prosljeđivanje istih podataka na Telegram kanal kojim upravlja napadač.

Puni opseg funkcionalnosti prikupljanja podataka proširenja uključuje:

  • Krađa TOTP sjemena i aktivnih 2FA kodova koji se koriste za zaštitu Meta i Facebook Business računa
  • Ekstrakcija podataka o osobama iz poslovnog menadžera, sastavljenih u CSV datoteke koje sadrže imena, adrese e-pošte, dodijeljene uloge, razine dopuštenja i statuse pristupa
  • Nabrajanje entiteta Business Managera i povezanih resursa, uključujući oglasne račune, povezane stranice, veze resursa, konfiguracije naplate i podatke o plaćanju

Iako dodatak ne prikuplja lozinke izravno, napadači bi mogli kombinirati ukradene jednokratne lozinke temeljene na vremenu s vjerodajnicama dobivenim iz zapisnika krađe informacija ili procurilih baza podataka kako bi dobili neovlašteni pristup računu.

Sigurnosni istraživači upozoravaju da su čak i s relativno malom instalacijskom bazom prikupljeni obavještajni podaci dovoljni za identifikaciju visokovrijednih korporativnih ciljeva i olakšavanje naknadnih napada.

Struganje prikriveno kao produktivnost

Slučaj CL Suitea ilustrira kako usko ograničena proširenja preglednika mogu prikriti agresivno prikupljanje podataka kao legitimna poboljšanja tijeka rada. Značajke poput izdvajanja kontakata, prikupljanja analitičkih podataka, suzbijanja skočnih prozora za provjeru i generiranja 2FA u pregledniku nisu neutralni uslužni programi. Umjesto toga, funkcioniraju kao namjenski izgrađeni programi za scraping, dizajnirani za izravno prikupljanje popisa kontakata, metapodataka i materijala za autentifikaciju s autentificiranih poslovnih sučelja Meta.

Ugradnjom u pouzdane tijekove rada, takva proširenja zaobilaze sumnju korisnika i djeluju unutar sigurnosnih granica aktivnih sesija.

Kampanja AiFrame: AI asistenti postali su podatkovni posrednici

U zasebnoj, ali koordiniranoj kampanji nazvanoj AiFrame, istraživači su otkrili 32 proširenja preglednika koja se reklamiraju kao pomoćnici pokretani umjetnom inteligencijom za sažimanje, chat, podršku za pisanje i produktivnost u Gmailu. Zajedno su ovi dodaci prikupili više od 260 000 instalacija.

Iako se čine legitimnima, ekstenzije se oslanjaju na udaljenu, poslužiteljski vođenu arhitekturu. Umjesto lokalne obrade podataka, ugrađuju iframe prekrivač preko cijelog zaslona koji se povezuje s domenom claude.tapnetic[.]pro. Ovaj dizajn omogućuje operaterima dinamičko uvođenje novih mogućnosti bez izdavanja ažuriranja putem Chrome web trgovine.

Nakon implementacije, ova proširenja djeluju kao privilegirani posrednici između preglednika i udaljene infrastrukture. Kada se aktiviraju, pregledavaju aktivnu karticu i koriste Mozillinu biblioteku Readability za izdvajanje sadržaja članka. Dodatne mogućnosti uključuju pokretanje prepoznavanja govora i slanje snimljenih transkripata na vanjske poslužitelje.

Podskup ekstenzija posebno cilja Gmail. Kada korisnici pristupe mail.google.com i aktiviraju značajke odgovora ili sažetka temeljene na umjetnoj inteligenciji, vidljivi sadržaj e-pošte izravno se izdvaja iz modela objekta dokumenta (DOM) i prenosi na pozadinske sustave trećih strana kojima upravljaju operateri. Posljedično, sadržaj e-pošte i kontekstualni metapodaci mogu se prenijeti izvan zaštićenog okruženja Gmaila na udaljene poslužitelje bez jasne svijesti korisnika.

Zloupotreba ekstenzija velikih razmjera i posredovanje podataka

Zlouporaba proširenja preglednika nije ograničena na izolirane kampanje. Istraživači su također identificirali 287 Chromeovih proširenja koja su kolektivno instalirana 37,4 milijuna puta, što je otprilike 1% globalne baze korisnika Chromea, i koja prikupljaju povijest pregledavanja do posrednika podataka.

Prethodna istraživanja pokazala su kako tvrtke poput Similarweba i Alexe agregiraju i monetiziraju prikupljene podatke o pregledavanju. Ovi nalazi naglašavaju razmjere u kojima nadzor temeljen na ekstenzijama može funkcionirati.

Jačanje obrane od zlonamjernih proširenja

S obzirom na rastuće prijetnje, organizacije i pojedinačni korisnici trebali bi usvojiti disciplinirane prakse upravljanja ekstenzijama. Učinkovite obrambene mjere uključuju:

  • Instaliranje samo bitnih, dobro recenziranih proširenja sa službenih tržišta
  • Provođenje periodičnih revizija instaliranih proširenja radi otkrivanja prekomjernih dopuštenja ili anomalnog ponašanja
  • Korištenje zasebnih profila preglednika za osjetljive aktivnosti
  • Implementacija popisa dopuštenih proširenja unutar poslovnih okruženja radi blokiranja neovlaštenih ili neusklađenih dodataka

Proširenja preglednika rade sa značajnim privilegijama unutar pouzdanih sesija. Bez strogog nadzora mogu postati moćni kanali za krađu podataka i kompromitiranje vjerodajnica.

System Messages

The following system messages may be associated with Infostealer Chromeova proširenja:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

U trendu

Nagledanije

Učitavam...