Preventivo sconto multi-licenza
Database delle minacce Malware Estensioni di Chrome Infostealer

Estensioni di Chrome Infostealer

Entro Mezo nel Malware, Ladri
Traduci in:

Gli analisti della sicurezza hanno identificato un'estensione fraudolenta di Google Chrome progettata per raccogliere dati sensibili dagli ambienti Meta Business. L'estensione, CL Suite di @CLMasters, si presenta come uno strumento di produttività per gli utenti di Meta Business Suite e Facebook Business Manager. Promossa come un'utilità per estrarre dati aziendali, bypassare le richieste di verifica e generare codici di autenticazione a due fattori (2FA), è stata pubblicata sul Chrome Web Store il 1° marzo 2025.

Nonostante l'informativa sulla privacy affermi che i segreti dell'autenticazione a due fattori (2FA) e i dati di Business Manager rimangano confinati all'ambiente locale, l'analisi tecnica rivela una realtà diversa. L'estensione richiede autorizzazioni estese sui domini meta.com e facebook.com e trasmette segretamente informazioni sensibili all'infrastruttura controllata dagli aggressori.

Capacità di esfiltrazione di dati nascosti

L'estensione raccoglie ed esporta silenziosamente dati di alto valore da sessioni Meta autenticate. Le informazioni esfiltrate vengono inviate a un backend ospitato su getauth[.]pro, con un meccanismo opzionale per inoltrare gli stessi payload a un canale Telegram gestito dall'autore della minaccia.

L'ambito completo delle funzionalità di raccolta dati dell'estensione include:

  • Furto di seed TOTP e codici 2FA attivi utilizzati per proteggere gli account Meta e Facebook Business
  • Estrazione dei dati "Persone" di Business Manager, compilati in file CSV contenenti nomi, indirizzi e-mail, ruoli assegnati, livelli di autorizzazione e stati di accesso
  • Enumerazione delle entità di Business Manager e delle risorse collegate, inclusi account pubblicitari, pagine associate, connessioni di risorse, configurazioni di fatturazione e dettagli di pagamento

Sebbene il componente aggiuntivo non catturi direttamente le password, gli aggressori potrebbero combinare le password monouso temporizzate rubate con credenziali ricavate dai log degli infostealer o da database trapelati per ottenere un accesso non autorizzato all'account.

Gli esperti di sicurezza avvertono che, anche con una base di installazione relativamente piccola, le informazioni raccolte sono sufficienti per identificare obiettivi aziendali di alto valore e facilitare attacchi successivi.

Scraping mascherato da produttività

Il caso di CL Suite illustra come estensioni browser di ambito limitato possano mascherare un'aggressiva raccolta di dati come legittimi miglioramenti del flusso di lavoro. Funzionalità come l'estrazione dei contatti, la raccolta di dati analitici, la soppressione dei pop-up di verifica e la generazione di 2FA nel browser non sono utilità neutre. Funzionano invece come scraper appositamente progettati per estrarre elenchi di contatti, metadati e materiale di autenticazione direttamente dalle interfacce aziendali Meta autenticate.

Integrandosi in flussi di lavoro affidabili, tali estensioni aggirano i sospetti degli utenti e operano entro i limiti di sicurezza delle sessioni attive.

La campagna AiFrame: assistenti AI trasformati in proxy di dati

In una campagna separata ma coordinata denominata AiFrame, i ricercatori hanno scoperto 32 estensioni del browser commercializzate come assistenti basati sull'intelligenza artificiale per la sintesi, la chat, il supporto alla scrittura e la produttività su Gmail. Complessivamente, questi componenti aggiuntivi hanno accumulato oltre 260.000 installazioni.

Pur apparendo legittime, le estensioni si basano su un'architettura remota basata su server. Invece di elaborare i dati localmente, incorporano overlay iframe a schermo intero che si collegano al dominio claude.tapnetic[.]pro. Questa progettazione consente agli operatori di introdurre dinamicamente nuove funzionalità senza dover rilasciare aggiornamenti tramite il Chrome Web Store.

Una volta implementate, queste estensioni fungono da intermediari privilegiati tra il browser e l'infrastruttura remota. Una volta attivate, ispezionano la scheda attiva e utilizzano la libreria Readability di Mozilla per estrarre il contenuto degli articoli. Ulteriori funzionalità includono l'avvio del riconoscimento vocale e la trasmissione delle trascrizioni acquisite a server esterni.

Un sottoinsieme delle estensioni è specificamente mirato a Gmail. Quando gli utenti accedono a mail.google.com e attivano le funzionalità di risposta o riepilogo basate sull'intelligenza artificiale, il contenuto visibile dell'email viene estratto direttamente dal modello a oggetti del documento (DOM) e trasmesso a sistemi backend di terze parti controllati dagli operatori. Di conseguenza, il contenuto dell'email e i metadati contestuali potrebbero essere trasferiti oltre l'ambiente protetto di Gmail, verso server remoti, senza che l'utente ne sia pienamente consapevole.

Abuso di estensioni su larga scala e intermediazione di dati

L'uso improprio delle estensioni del browser non si limita a campagne isolate. I ricercatori hanno anche identificato 287 estensioni di Chrome che sono state installate complessivamente 37,4 milioni di volte, circa l'1% della base utenti globale di Chrome, e che estraggono le cronologie di navigazione ai broker di dati.

Precedenti indagini hanno dimostrato come i dati di navigazione raccolti vengano aggregati e monetizzati da aziende come Similarweb e Alexa. Questi risultati sottolineano la portata su cui può operare la sorveglianza basata sulle estensioni.

Rafforzare la difesa contro le estensioni dannose

Dato il crescente panorama delle minacce, le organizzazioni e i singoli utenti dovrebbero adottare pratiche di gestione delle estensioni disciplinate. Le misure difensive efficaci includono:

  • Installare solo estensioni essenziali e ben recensite dai marketplace ufficiali
  • Esecuzione di audit periodici delle estensioni installate per rilevare permessi eccessivi o comportamenti anomali
  • Utilizzo di profili browser separati per attività sensibili
  • Implementazione dell'elenco consentito delle estensioni negli ambienti aziendali per bloccare componenti aggiuntivi non autorizzati o non conformi

Le estensioni del browser operano con privilegi significativi all'interno di sessioni attendibili. Senza una supervisione rigorosa, possono trasformarsi in potenti canali per l'esfiltrazione di dati e la compromissione delle credenziali.

System Messages

The following system messages may be associated with Estensioni di Chrome Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Tendenza

I più visti

Caricamento in corso...