Infostealer Chrome paplašinājumi

Drošības analītiķi ir identificējuši negodīgu Google Chrome paplašinājumu, kas izstrādāts, lai ievāktu sensitīvus datus no Meta Business vidēm. Paplašinājums CL Suite, ko izstrādājis @CLMasters, tiek pasniegts kā produktivitātes rīks Meta Business Suite un Facebook Business Manager lietotājiem. Tas tika reklamēts kā utilīta biznesa datu apkopošanai, verifikācijas uzvedņu apiešanai un divfaktoru autentifikācijas (2FA) kodu ģenerēšanai, un tika publicēts Chrome interneta veikalā 2025. gada 1. martā.

Lai gan tā privātuma politikā ir apgalvots, ka 2FA noslēpumi un Business Manager dati paliek ierobežoti lokālajā vidē, tehniskā analīze atklāj citu realitāti. Paplašinājums pieprasa plašas atļaujas meta.com un facebook.com domēnos un slepeni pārsūta sensitīvu informāciju uzbrucēju kontrolētai infrastruktūrai.

Slepena datu izvilkšanas iespējas

Paplašinājums nemanāmi apkopo un eksportē vērtīgus datus no autentificētām Meta sesijām. Izfiltrētā informācija tiek nosūtīta uz serverī getauth[.]pro mitinātu serveri ar papildu mehānismu, lai pārsūtītu tos pašus datus uz apdraudējuma izraisītāja pārvaldīto Telegram kanālu.

Paplašinājuma datu apkopošanas funkcionalitātes pilns tvērums ietver:

• TOTP sēklu un aktīvo 2FA kodu zādzība, ko izmantoja Meta un Facebook Business kontu aizsardzībai
• Uzņēmuma vadītāja sadaļas “Personāli” datu ieguve, apkopota CSV failos, kuros ir vārdi, e-pasta adreses, piešķirtās lomas, atļauju līmeņi un piekļuves statusi.
• Business Manager vienību un saistīto resursu uzskaitījums, tostarp reklāmu konti, saistītās lapas, resursu savienojumi, norēķinu konfigurācijas un maksājumu informācija

Lai gan pievienojumprogramma tieši neuztver paroles, uzbrucēji varētu apvienot nozagtās uz laiku balstītās vienreizējās paroles ar akreditācijas datiem, kas iegūti no informācijas zagļu žurnāliem vai nopludinātām datubāzēm, lai iegūtu neatļautu piekļuvi kontam.

Drošības pētnieki brīdina, ka pat ar relatīvi nelielu instalāciju bāzi apkopotā informācija ir pietiekama, lai identificētu augstas vērtības korporatīvos mērķus un veicinātu turpmākus uzbrukumus.

Skrāpēšana maskējas kā produktivitāte

CL Suite gadījums ilustrē, kā šaura darbības joma pārlūkprogrammas paplašinājumi var maskēt agresīvu datu vākšanu kā likumīgus darbplūsmas uzlabojumus. Tādas funkcijas kā kontaktu ieguve, analītikas datu vākšana, verifikācijas uznirstošo logu bloķēšana un 2FA ģenerēšana pārlūkprogrammā nav neitrālas utilītas. Tā vietā tās darbojas kā mērķtiecīgi izstrādāti datu skrāpji, kas izstrādāti, lai no autentificētām Meta biznesa saskarnēm izgūtu kontaktu sarakstus, metadatus un autentifikācijas materiālus.

Iekļaujoties uzticamās darbplūsmās, šādi paplašinājumi apiet lietotāju aizdomas un darbojas aktīvo sesiju drošības robežās.

AiFrame kampaņa: mākslīgā intelekta asistenti kļuva par datu starpniekiem

Atsevišķā, bet koordinētā kampaņā ar nosaukumu AiFrame pētnieki atklāja 32 pārlūkprogrammas paplašinājumus, kas tika reklamēti kā mākslīgā intelekta darbināmi palīgi apkopošanai, tērzēšanai, rakstīšanas atbalstam un Gmail produktivitātei. Kopā šie papildinājumi ir instalēti vairāk nekā 260 000 reižu.

Lai gan paplašinājumi šķiet likumīgi, tie balstās uz attālinātu, servera vadītu arhitektūru. Tā vietā, lai apstrādātu datus lokāli, tie iegulda pilnekrāna iframe pārklājumus, kas izveido savienojumu ar domēnu claude.tapnetic[.]pro. Šis dizains ļauj operatoriem dinamiski ieviest jaunas iespējas, neizlaižot atjauninājumus, izmantojot Chrome interneta veikalu.

Pēc izvietošanas šie paplašinājumi darbojas kā priviliģēti starpnieki starp pārlūkprogrammu un attālo infrastruktūru. Kad tie tiek aktivizēti, tie pārbauda aktīvo cilni un izmanto Mozilla lasāmības bibliotēku, lai iegūtu raksta saturu. Papildu iespējas ietver runas atpazīšanas uzsākšanu un uztverto transkriptu pārsūtīšanu uz ārējiem serveriem.

Daļa paplašinājumu ir īpaši paredzēti pakalpojumam Gmail. Kad lietotāji piekļūst vietnei mail.google.com un aktivizē mākslīgā intelekta vadītas atbildes vai kopsavilkuma funkcijas, redzamais e-pasta saturs tiek iegūts tieši no dokumentu objektu modeļa (DOM) un nosūtīts uz trešo pušu aizmugursistēmām, kuras kontrolē operatori. Līdz ar to e-pasta saturs un kontekstuālie metadati var tikt pārsūtīti ārpus Gmail aizsargātās vides uz attāliem serveriem bez skaidras lietotāja ziņas.

Liela mēroga paplašinājumu ļaunprātīga izmantošana un datu starpniecība

Pārlūkprogrammas paplašinājumu ļaunprātīga izmantošana neaprobežojas tikai ar atsevišķām kampaņām. Pētnieki ir arī identificējuši 287 Chrome paplašinājumus, kas kopumā ir instalēti 37,4 miljonus reižu, kas ir aptuveni 1% no globālās Chrome lietotāju bāzes, un kas nodod pārlūkošanas vēsturi datu brokeriem.

Iepriekšējās izmeklēšanas ir parādījušas, kā tādi uzņēmumi kā Similarweb un Alexa apkopo un monetizē ievāktos pārlūkošanas datus. Šie atklājumi uzsver, cik lielā mērā var darboties uz paplašinājumiem balstīta uzraudzība.

Aizsardzības stiprināšana pret ļaunprātīgiem paplašinājumiem

Ņemot vērā pieaugošo apdraudējumu ainavu, organizācijām un individuāliem lietotājiem jāievieš disciplinētas paplašinājumu pārvaldības prakses. Efektīvi aizsardzības pasākumi ietver:

• Instalējiet tikai būtiskus, labi pārskatītus paplašinājumus no oficiālajām tirdzniecības vietām
• Periodisku instalēto paplašinājumu auditu veikšana, lai atklātu pārmērīgas atļaujas vai anomālu darbību

• Atsevišķu pārlūkprogrammas profilu izmantošana sensitīvām darbībām

• Paplašinājumu atļaušanas saraksta ieviešana uzņēmumu vidēs, lai bloķētu neatļautus vai neatbilstošus papildinājumus

Pārlūkprogrammas paplašinājumi darbojas ar ievērojamām privilēģijām uzticamās sesijās. Bez stingras uzraudzības tie var kļūt par spēcīgiem kanāliem datu noplūdei un akreditācijas datu kompromitēšanai.