Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Sambungan Chrome Infostealer

Sambungan Chrome Infostealer

Menjelang Mezo pada perisian hasad, pencuri
Terjemahkan ke

Penganalisis keselamatan telah mengenal pasti sambungan Google Chrome palsu yang direka bentuk untuk menuai data sensitif daripada persekitaran Meta Business. Sambungan tersebut, CL Suite oleh @CLMasters, menampilkan dirinya sebagai alat produktiviti untuk pengguna Meta Business Suite dan Facebook Business Manager. Dipromosikan sebagai utiliti untuk mengikis data perniagaan, memintas gesaan pengesahan dan menjana kod pengesahan dua faktor (2FA), ia telah diterbitkan di Gedung Web Chrome pada 1 Mac 2025.

Walaupun terdapat dakwaan dalam dasar privasinya bahawa rahsia 2FA dan data Pengurus Perniagaan masih terhad kepada persekitaran tempatan, analisis teknikal mendedahkan realiti yang berbeza. Sambungan ini meminta kebenaran yang meluas ke atas domain meta.com dan facebook.com dan secara rahsia menghantar maklumat sensitif kepada infrastruktur yang dikawal oleh penyerang.

Keupayaan Pengekstrakan Data Tersembunyi

Sambungan ini secara senyap mengumpul dan mengeksport data bernilai tinggi daripada sesi Meta yang disahkan. Maklumat yang telah diekstrak dihantar ke bahagian belakang yang dihoskan di getauth[.]pro, dengan mekanisme pilihan untuk menghantar muatan yang sama ke saluran Telegram yang dikendalikan oleh pelaku ancaman.

Skop penuh fungsi pengumpulan data sambungan ini merangkumi:

  • Kecurian benih TOTP dan kod 2FA aktif yang digunakan untuk mengamankan akaun Meta dan Facebook Business
  • Pengekstrakan data 'Orang' Pengurus Perniagaan, disusun ke dalam fail CSV yang mengandungi nama, alamat e-mel, peranan yang diberikan, tahap kebenaran dan status akses
  • Penghitungan entiti Pengurus Perniagaan dan aset yang dipautkan, termasuk akaun iklan, halaman yang berkaitan, sambungan aset, konfigurasi pengebilan dan butiran pembayaran

Walaupun alat tambah ini tidak menangkap kata laluan secara langsung, penyerang boleh menggabungkan kata laluan sekali guna berasaskan masa yang dicuri dengan kelayakan yang diperoleh daripada log pencuri maklumat atau pangkalan data yang bocor untuk mendapatkan akses akaun yang tidak dibenarkan.

Penyelidik keselamatan memberi amaran bahawa walaupun dengan pangkalan pemasangan yang agak kecil, risikan yang dikumpul sudah mencukupi untuk mengenal pasti sasaran korporat bernilai tinggi dan memudahkan serangan susulan.

Mengikis Menyamar sebagai Produktiviti

Kes CL Suite menggambarkan bagaimana sambungan pelayar yang berskop sempit boleh menyembunyikan penuaian data yang agresif sebagai penambahbaikan aliran kerja yang sah. Ciri-ciri seperti pengekstrakan kenalan, pengumpulan analitik, penindasan tetingkap timbul pengesahan dan penjanaan 2FA dalam pelayar bukanlah utiliti neutral. Sebaliknya, ia berfungsi sebagai pengikis yang dibina khas yang direka bentuk untuk menyedut senarai kenalan, metadata dan bahan pengesahan terus daripada antara muka perniagaan Meta yang disahkan.

Dengan membenamkan diri mereka ke dalam aliran kerja yang dipercayai, sambungan sedemikian memintas syak wasangka pengguna dan beroperasi dalam sempadan keselamatan sesi aktif.

Kempen AiFrame: Pembantu AI Bertukar Proksi Data

Dalam kempen berasingan tetapi diselaraskan yang digelar AiFrame, para penyelidik menemui 32 sambungan pelayar yang dipasarkan sebagai pembantu berkuasa AI untuk ringkasan, sembang, sokongan penulisan dan produktiviti Gmail. Secara kolektif, alat tambah ini telah mengumpulkan lebih daripada 260,000 pemasangan.

Walaupun kelihatan sah, sambungan tersebut bergantung pada seni bina jauh yang dipacu pelayan. Daripada memproses data secara setempat, ia membenamkan tindanan iframe skrin penuh yang bersambung ke domain claude.tapnetic[.]pro. Reka bentuk ini membolehkan pengendali memperkenalkan keupayaan baharu secara dinamik tanpa mengeluarkan kemas kini melalui Gedung Web Chrome.

Setelah digunakan, sambungan ini bertindak sebagai perantara istimewa antara pelayar dan infrastruktur jauh. Apabila dicetuskan, ia memeriksa tab aktif dan menggunakan pustaka Kebolehbacaan Mozilla untuk mengekstrak kandungan artikel. Keupayaan tambahan termasuk memulakan pengecaman pertuturan dan menghantar transkrip yang ditangkap ke pelayan luaran.

Sebahagian kecil daripada sambungan tersebut menyasarkan Gmail secara khusus. Apabila pengguna mengakses mail.google.com dan mengaktifkan ciri balasan atau ringkasan yang dipacu AI, kandungan e-mel yang boleh dilihat diekstrak terus daripada model objek dokumen (DOM) dan dihantar ke sistem bahagian belakang pihak ketiga yang dikawal oleh pengendali. Akibatnya, kandungan e-mel dan metadata kontekstual mungkin dipindahkan melangkaui persekitaran terlindung Gmail ke pelayan jauh tanpa kesedaran pengguna yang jelas.

Penyalahgunaan Peluasan Berskala Besar dan Pembrokeran Data

Penyalahgunaan sambungan pelayar tidak terhad kepada kempen terpencil. Penyelidik juga telah mengenal pasti 287 sambungan Chrome yang telah dipasang secara kolektif sebanyak 37.4 juta kali, kira-kira 1% daripada pangkalan pengguna Chrome global, dan yang mengalihkan sejarah pelayaran kepada broker data.

Siasatan terdahulu telah menunjukkan bagaimana data pelayaran yang dituai diagregatkan dan dimonetisasikan oleh syarikat seperti Similarweb dan Alexa. Penemuan ini menggariskan skala di mana pengawasan berasaskan peluasan boleh beroperasi.

Memperkukuhkan Pertahanan Terhadap Sambungan Berniat Jahat

Memandangkan landskap ancaman yang semakin meningkat, organisasi dan pengguna individu harus menerima pakai amalan pengurusan peluasan yang berdisiplin. Langkah-langkah pertahanan yang berkesan termasuk:

  • Memasang hanya sambungan penting yang telah disemak dengan baik daripada pasaran rasmi
  • Menjalankan audit berkala terhadap sambungan yang dipasang untuk mengesan kebenaran yang berlebihan atau tingkah laku yang tidak normal
  • Menggunakan profil pelayar berasingan untuk aktiviti sensitif
  • Melaksanakan senarai kebenaran sambungan dalam persekitaran perusahaan untuk menyekat alat tambah yang tidak dibenarkan atau tidak patuh

Sambungan pelayar beroperasi dengan keistimewaan yang ketara dalam sesi yang dipercayai. Tanpa pengawasan yang ketat, ia boleh menjadi saluran yang ampuh untuk penyaringan data dan pencerobohan kelayakan.

System Messages

The following system messages may be associated with Sambungan Chrome Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trending

Paling banyak dilihat

Memuatkan...