„Infostealer“ „Chrome“ plėtiniai
Saugumo analitikai aptiko nesąžiningą „Google Chrome“ plėtinį, sukurtą rinkti slaptus duomenis iš „Meta Business“ aplinkų. Plėtinys „CL Suite“, sukurtas @CLMasters, pristatomas kaip produktyvumo įrankis „Meta Business Suite“ ir „Facebook Business Manager“ naudotojams. Reklamuojamas kaip įrankis, skirtas verslo duomenims išgauti, apeiti patvirtinimo raginimus ir generuoti dviejų veiksnių autentifikavimo (2FA) kodus, jis buvo paskelbtas „Chrome“ internetinėje parduotuvėje 2025 m. kovo 1 d.
Nors privatumo politikoje teigiama, kad 2FA paslaptys ir „Business Manager“ duomenys lieka apriboti vietinės aplinkos, techninė analizė atskleidžia kitokią realybę. Plėtinys prašo plačių leidimų meta.com ir facebook.com domenuose ir slapta perduoda neskelbtiną informaciją užpuoliko kontroliuojamai infrastruktūrai.
Turinys
Slaptos duomenų išgavimo galimybės
Plėtinys tyliai renka ir eksportuoja didelės vertės duomenis iš autentifikuotų „Meta“ sesijų. Išfiltruota informacija siunčiama į serverio serverį, esantį adresu „getauth[.]pro“, su pasirenkamu mechanizmu, skirtu persiųsti tuos pačius naudingus duomenis į grėsmės šaltinio valdomą „Telegram“ kanalą.
Visas plėtinio duomenų rinkimo funkcionalumo spektras apima:
- TOTP sėklų ir aktyvių 2FA kodų, naudotų „Meta“ ir „Facebook Business“ paskyroms apsaugoti, vagystė
- Verslo vadovo „Žmonės“ duomenų išgavimas, sukompiliuotas į CSV failus su vardais, el. pašto adresais, priskirtais vaidmenimis, leidimų lygiais ir prieigos būsenomis
- „Business Manager“ subjektų ir susietų išteklių, įskaitant reklamos paskyras, susijusius puslapius, išteklių ryšius, atsiskaitymo konfigūracijas ir mokėjimo informaciją, sąrašas
Nors priedas tiesiogiai nefiksuoja slaptažodžių, užpuolikai gali sujungti pavogtus vienkartinius laiko pagrindu veikiančius slaptažodžius su prisijungimo duomenimis, gautais iš informacijos vagysčių žurnalų ar nutekėjusių duomenų bazių, kad gautų neteisėtą prieigą prie paskyros.
Saugumo tyrėjai perspėja, kad net ir turint gana nedidelę įdiegimo bazę, surinktos žvalgybos informacijos pakanka, kad būtų galima nustatyti didelės vertės įmonių taikinius ir palengvinti tolesnes atakas.
Grandymas, užmaskuotas kaip produktyvumas
„CL Suite“ atvejis iliustruoja, kaip siauros apimties naršyklės plėtiniai gali užmaskuoti agresyvų duomenų rinkimą kaip teisėtus darbo eigos patobulinimus. Tokios funkcijos kaip kontaktų išgavimas, analizės rinkimas, patvirtinimo iššokančių langų blokavimas ir 2FA generavimas naršyklėje nėra neutralios priemonės. Jos veikia kaip specialiai sukurti duomenų rinktuvai, skirti nuskaityti kontaktų sąrašus, metaduomenis ir autentifikavimo medžiagą tiesiai iš autentifikuotų „Meta“ verslo sąsajų.
Integruodami save į patikimus darbo eigų procesus, tokie plėtiniai apeina naudotojų įtarimus ir veikia aktyvių seansų saugumo ribose.
„AiFrame“ kampanija: dirbtinio intelekto asistentai tapo duomenų įgaliotiniais
Atskiroje, bet koordinuotoje kampanijoje, pavadintoje „AiFrame“, tyrėjai atrado 32 naršyklės plėtinius, kurie buvo reklamuojami kaip dirbtinio intelekto valdomi asistentai, skirti santraukoms, pokalbiams, rašymo palaikymui ir „Gmail“ produktyvumui. Iš viso šie priedai yra įdiegtų daugiau nei 260 000 kartų.
Nors plėtiniai atrodo teisėti, jie remiasi nuotoline, serverio valdoma architektūra. Užuot apdoroję duomenis vietoje, jie įterpia viso ekrano „iframe“ perdangas, kurios jungiasi prie domeno claude.tapnetic[.]pro. Ši konstrukcija leidžia operatoriams dinamiškai diegti naujas funkcijas neišleidžiant atnaujinimų per „Chrome“ internetinę parduotuvę.
Įdiegus šiuos plėtinius, jie veikia kaip privilegijuoti tarpininkai tarp naršyklės ir nuotolinės infrastruktūros. Suaktyvinti jie patikrina aktyvų skirtuką ir, naudodami „Mozilla“ skaitymo biblioteką, išgauna straipsnio turinį. Papildomos funkcijos apima kalbos atpažinimo inicijavimą ir užfiksuotų nuorašų perdavimą išoriniams serveriams.
Dalis plėtinių yra specialiai skirti „Gmail“. Kai vartotojai pasiekia mail.google.com ir aktyvuoja dirbtinio intelekto valdomas atsakymo arba santraukos funkcijas, matomas el. laiško turinys yra išgaunamas tiesiai iš dokumento objektų modelio (DOM) ir perduodamas trečiųjų šalių sistemoms, kurias valdo operatoriai. Todėl el. laiško turinys ir kontekstiniai metaduomenys gali būti perduoti už apsaugotos „Gmail“ aplinkos ribų į nuotolinius serverius be aiškaus vartotojo žinios.
Didelio masto piktnaudžiavimas plėtiniais ir duomenų tarpininkavimas
Netinkamas naršyklės plėtinių naudojimas neapsiriboja pavienėmis kampanijomis. Tyrėjai taip pat nustatė 287 „Chrome“ plėtinius, kurie iš viso buvo įdiegti 37,4 mln. kartų – tai sudaro maždaug 1 % visos pasaulinės „Chrome“ naudotojų bazės ir kurie išfiltruoja naršymo istoriją duomenų brokeriams.
Ankstesni tyrimai parodė, kaip tokios įmonės kaip „Similarweb“ ir „Alexa“ kaupia ir monetizuoja surinktus naršymo duomenis. Šie rezultatai pabrėžia plėtiniais pagrįsto stebėjimo mastą.
Apsaugos nuo kenkėjiškų plėtinių stiprinimas
Atsižvelgiant į didėjančią grėsmių aplinką, organizacijos ir individualūs vartotojai turėtų taikyti drausmingas plėtinių valdymo praktikas. Veiksmingos gynybos priemonės apima:
- Įdiekite tik būtinus, gerai įvertintus plėtinius iš oficialių prekyviečių
- Periodiškai atlikti įdiegtų plėtinių auditus, siekiant aptikti pernelyg didelius leidimus ar anomalų elgesį.
Naršyklės plėtiniai veikia su didelėmis privilegijomis patikimose sesijose. Be griežtos priežiūros jie gali tapti galingais kanalais duomenų nutekėjimui ir kredencialų pažeidimui.
System Messages
The following system messages may be associated with „Infostealer“ „Chrome“ plėtiniai:
The names of the malicious extensions are: |
