Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Infostealer Chrome-bővítmények

Infostealer Chrome-bővítmények

Mezo -ra Malware, Lopók-ben
Fordítás ide:

Biztonsági elemzők azonosítottak egy ártalmatlan Google Chrome-bővítményt, amelyet a Meta Business környezetekből származó érzékeny adatok gyűjtése céljából fejlesztettek ki. A @CLMasters által fejlesztett CL Suite bővítmény a Meta Business Suite és a Facebook Business Manager felhasználói számára termelékenységi eszközként mutatkozik be. Az üzleti adatok gyűjtésére, az ellenőrzési kérdések megkerülésére és kétfaktoros hitelesítési (2FA) kódok generálására szolgáló segédprogramként reklámozott bővítményt 2025. március 1-jén tették közzé a Chrome Webáruházban.

Annak ellenére, hogy az adatvédelmi irányelveikben azt állítják, hogy a 2FA titkok és a Business Manager adatai továbbra is a helyi környezetre korlátozódnak, a technikai elemzés más valóságot tár fel. A kiterjesztés kiterjedt engedélyeket kér a meta.com és a facebook.com domainekhez, és titokban érzékeny információkat továbbít a támadó által ellenőrzött infrastruktúrának.

Titkos adatlopási képességek

A kiterjesztés csendben gyűjti és exportálja a hitelesített Meta munkamenetekből származó nagy értékű adatokat. A kiszivárgott információkat a getauth[.]pro címen üzemeltetett backend rendszerbe küldi, opcionális mechanizmussal, amely ugyanazokat a hasznos adatokat továbbítja a fenyegetés forrása által üzemeltetett Telegram csatornára.

A bővítmény adatgyűjtési funkcióinak teljes skálája a következőket foglalja magában:

  • TOTP seedek és aktív 2FA kódok ellopása, amelyeket a Meta és a Facebook Business fiókok védelmére használtak
  • Az Üzletvezető „Személyek” adatainak kinyerése, CSV-fájlokba összeállítva, amelyek neveket, e-mail címeket, hozzárendelt szerepköröket, jogosultsági szinteket és hozzáférési állapotokat tartalmaznak.
  • A Business Manager entitásainak és a kapcsolódó eszközök felsorolása, beleértve a hirdetési fiókokat, a kapcsolódó oldalakat, az eszközkapcsolatokat, a számlázási konfigurációkat és a fizetési adatokat

Bár a bővítmény nem rögzíti közvetlenül a jelszavakat, a támadók kombinálhatják az ellopott időalapú egyszeri jelszavakat az információlopók naplóiból vagy kiszivárgott adatbázisokból származó hitelesítő adatokkal, hogy jogosulatlan fiókhozzáférést szerezzenek.

Biztonsági kutatók arra figyelmeztetnek, hogy még egy viszonylag kis telepítési bázissal is elegendő a gyűjtött információ a nagy értékű vállalati célpontok azonosításához és a további támadások megkönnyítéséhez.

A kaparás álcája a termelékenység

A CL Suite esete jól szemlélteti, hogy a szűk hatókörű böngészőbővítmények hogyan tudják az agresszív adatgyűjtést jogos munkafolyamat-fejlesztésekként álcázni. Az olyan funkciók, mint a kapcsolatfelvétel, az analitikai adatok gyűjtése, az ellenőrző felugró ablakok letiltása és a böngészőn belüli 2FA-generálás, nem semleges segédprogramok. Ehelyett célzottan épített adatgyűjtőkként működnek, amelyeket arra terveztek, hogy a kapcsolattartó listákat, metaadatokat és hitelesítési anyagokat közvetlenül a hitelesített Meta üzleti felületekről kinyerjék.

Azáltal, hogy beágyazódnak a megbízható munkafolyamatokba, az ilyen kiterjesztések megkerülik a felhasználók gyanúját, és az aktív munkamenetek biztonsági határain belül működnek.

Az AiFrame kampány: MI-asszisztensekből adatmegbízottak

Egy különálló, de összehangolt, AiFrame névre keresztelt kampányban a kutatók 32 böngészőbővítményt fedeztek fel, amelyeket mesterséges intelligencia által vezérelt asszisztensként forgalmaztak összefoglaláshoz, csevegéshez, írástámogatáshoz és Gmail-hatékonysághoz. Ezek a kiegészítők összesen több mint 260 000 telepítést halmoztak fel.

Bár jogosnak tűnnek, a kiterjesztések egy távoli, szervervezérelt architektúrán alapulnak. Ahelyett, hogy lokálisan dolgoznák fel az adatokat, teljes képernyős iframe átfedéseket ágyaznak be, amelyek a claude.tapnetic[.]pro domainhez kapcsolódnak. Ez a kialakítás lehetővé teszi az operátorok számára, hogy dinamikusan vezessenek be új funkciókat anélkül, hogy frissítéseket kellene kiadniuk a Chrome Webáruházon keresztül.

Telepítésük után ezek a bővítmények kiemelt közvetítőként működnek a böngésző és a távoli infrastruktúra között. Aktiváláskor megvizsgálják az aktív lapot, és a Mozilla Readability könyvtárát használják a cikk tartalmának kinyerésére. További képességeik közé tartozik a beszédfelismerés kezdeményezése és a rögzített átiratok külső szerverekre küldése.

A bővítmények egy részhalmaza kifejezetten a Gmailt célozza meg. Amikor a felhasználók elérik a mail.google.com oldalt és aktiválják a mesterséges intelligencia által vezérelt válasz- vagy összefoglaló funkciókat, a látható e-mail-tartalom közvetlenül a dokumentumobjektum-modellből (DOM) lesz kivonva, és az operátorok által vezérelt harmadik féltől származó háttérrendszerekbe kerül. Következésképpen az e-mail-tartalom és a kontextuális metaadatok a Gmail védett környezetén túl távoli szerverekre kerülhetnek át a felhasználó egyértelmű tájékoztatása nélkül.

Nagymértékű kiterjesztéssel való visszaélés és adatközvetítés

A böngészőbővítmények helytelen használata nem korlátozódik elszigetelt kampányokra. A kutatók 287 Chrome-bővítményt is azonosítottak, amelyeket összesen 37,4 millió alkalommal telepítettek, ami a globális Chrome-felhasználók körülbelül 1%-át teszi ki, és amelyek böngészési előzményeket szivárogtatnak ki adatbrókerekhez.

Korábbi vizsgálatok kimutatták, hogy a begyűjtött böngészési adatokat hogyan összesítik és pénzzé teszik olyan cégek, mint a Similarweb és az Alexa. Ezek az eredmények rávilágítanak arra, hogy a bővítményalapú megfigyelés milyen mértékben működhet.

A kártékony bővítmények elleni védelem megerősítése

Tekintettel az egyre fokozódó fenyegetettségre, a szervezeteknek és az egyéni felhasználóknak fegyelmezett bővítménykezelési gyakorlatokat kell alkalmazniuk. A hatékony védelmi intézkedések a következők:

  • Csak a hivatalos piacterekről származó, elengedhetetlen, jól ellenőrzött bővítmények telepítése
  • A telepített bővítmények rendszeres ellenőrzése a túlzott engedélyek vagy a rendellenes viselkedés észlelése érdekében
  • Külön böngészőprofilok használata érzékeny tevékenységekhez
  • Bővítmények engedélyezési listájának megvalósítása vállalati környezetekben a jogosulatlan vagy nem megfelelő bővítmények blokkolása érdekében

A böngészőbővítmények jelentős jogosultságokkal működnek a megbízható munkameneteken belül. Szigorú felügyelet nélkül hatékony csatornákká válhatnak az adatlopáshoz és a hitelesítő adatok veszélyeztetéséhez.

System Messages

The following system messages may be associated with Infostealer Chrome-bővítmények:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Felkapott

Legnézettebb

Betöltés...