Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Infostealer Chrome-utvidelser

Infostealer Chrome-utvidelser

Med Mezo i Skadelig programvare, Tyvere
Oversett til:

Sikkerhetsanalytikere har identifisert en uønsket Google Chrome-utvidelse som er utviklet for å samle sensitive data fra Meta Business-miljøer. Utvidelsen, CL Suite av @CLMasters, presenterer seg som et produktivitetsverktøy for brukere av Meta Business Suite og Facebook Business Manager. Den ble markedsført som et verktøy for å skrape forretningsdata, omgå bekreftelsesspørsmål og generere tofaktorautentiseringskoder (2FA), og ble publisert i Chrome Nettmarked 1. mars 2025.

Til tross for påstander i personvernreglene om at 2FA-hemmeligheter og Business Manager-data forblir begrenset til det lokale miljøet, avslører teknisk analyse en annen virkelighet. Utvidelsen ber om omfattende tillatelser over meta.com- og facebook.com-domenene og overfører i hemmelighet sensitiv informasjon til angriperkontrollert infrastruktur.

Funksjoner for skjult datautvinning

Utvidelsen samler og eksporterer i stillhet verdifulle data fra autentiserte Meta-økter. Eksfiltrert informasjon sendes til en backend hos getauth[.]pro, med en valgfri mekanisme for å videresende de samme nyttelastene til en Telegram-kanal som drives av trusselaktøren.

Hele omfanget av utvidelsens datainnsamlingsfunksjonalitet inkluderer:

  • Tyveri av TOTP-frø og aktive 2FA-koder brukt til å sikre Meta- og Facebook Business-kontoer
  • Uttrekk av «Personer»-data fra Business Manager, samlet i CSV-filer som inneholder navn, e-postadresser, tildelte roller, tillatelsesnivåer og tilgangsstatuser
  • Opplisting av Business Manager-enheter og tilknyttede ressurser, inkludert annonsekontoer, tilknyttede sider, ressurstilkoblinger, faktureringskonfigurasjoner og betalingsdetaljer

Selv om tillegget ikke direkte fanger opp passord, kan angripere kombinere de stjålne tidsbaserte engangspassordene med pålogging hentet fra infostealer-logger eller lekkede databaser for å få uautorisert tilgang til kontoen.

Sikkerhetsforskere advarer om at selv med en relativt liten installasjonsbase, er den innsamlede etterretningen tilstrekkelig til å identifisere verdifulle bedriftsmål og legge til rette for oppfølgingsangrep.

Skraping forkledd som produktivitet

Eksemplet med CL Suite illustrerer hvor snevert begrensede nettleserutvidelser kan skjule aggressiv datainnsamling som legitime forbedringer av arbeidsflyten. Funksjoner som kontaktutvinning, analyseinnsamling, undertrykkelse av popup-vinduer for bekreftelse og generering av 2FA i nettleseren er ikke nøytrale verktøy. I stedet fungerer de som spesialbygde skrapere som er konstruert for å hente ut kontaktlister, metadata og autentiseringsmateriale direkte fra autentiserte Meta-forretningsgrensesnitt.

Ved å integrere seg i pålitelige arbeidsflyter, omgår slike utvidelser brukermistänksomhet og opererer innenfor sikkerhetsgrensene for aktive økter.

AiFrame-kampanjen: AI-assistenter ble dataproxyer

I en separat, men koordinert kampanje kalt AiFrame, avdekket forskere 32 nettleserutvidelser markedsført som AI-drevne assistenter for oppsummering, chat, skrivestøtte og Gmail-produktivitet. Til sammen har disse tilleggene samlet mer enn 260 000 installasjoner.

Selv om de virker legitime, er utvidelsene avhengige av en ekstern, serverdrevet arkitektur. I stedet for å behandle data lokalt, legger de inn fullskjerms iframe-overlegg som kobler seg til domenet claude.tapnetic[.]pro. Denne designen lar operatører dynamisk introdusere nye funksjoner uten å utstede oppdateringer via Chrome Nettmarked.

Når de er distribuert, fungerer disse utvidelsene som privilegerte mellomledd mellom nettleseren og den eksterne infrastrukturen. Når de utløses, inspiserer de den aktive fanen og bruker Mozillas Readability-bibliotek for å trekke ut artikkelinnhold. Ytterligere funksjoner inkluderer å starte talegjenkjenning og overføre innspilte transkripsjoner til eksterne servere.

En delmengde av utvidelsene er spesifikt rettet mot Gmail. Når brukere åpner mail.google.com og aktiverer AI-drevne svar- eller sammendragsfunksjoner, hentes synlig e-postinnhold direkte fra dokumentobjektmodellen (DOM) og overføres til tredjeparts backend-systemer kontrollert av operatørene. Følgelig kan e-postinnhold og kontekstuelle metadata overføres utover Gmails beskyttede miljø til eksterne servere uten klar brukerbevissthet.

Storskala misbruk av utvidelser og datamegling

Misbruk av nettleserutvidelser er ikke begrenset til isolerte kampanjer. Forskere har også identifisert 287 Chrome-utvidelser som samlet sett har blitt installert 37,4 millioner ganger, omtrent 1 % av den globale Chrome-brukerbasen, og som stjeler nettleserlogger til dataformidlere.

Tidligere undersøkelser har vist hvordan innsamlede nettleserdata aggregeres og tjenes penger av selskaper som Similarweb og Alexa. Disse funnene understreker omfanget som utvidelsesbasert overvåking kan operere på.

Styrking av forsvaret mot ondsinnede utvidelser

Gitt det eskalerende trussellandskapet, bør organisasjoner og individuelle brukere ta i bruk disiplinerte praksiser for administrasjon av utvidelser. Effektive forsvarstiltak inkluderer:

  • Installerer kun viktige, godt anmeldte utvidelser fra offisielle markedsplasser
  • Gjennomføre periodiske revisjoner av installerte utvidelser for å oppdage overdreven tilgang eller unormal oppførsel
  • Bruk av separate nettleserprofiler for sensitive aktiviteter
  • Implementering av tillatelseslister for utvidelser i bedriftsmiljøer for å blokkere uautoriserte eller ikke-kompatible tillegg

Nettleserutvidelser opererer med betydelige rettigheter innenfor klarerte økter. Uten streng tilsyn kan de bli kraftige kanaler for datautvinning og kompromittering av legitimasjon.

System Messages

The following system messages may be associated with Infostealer Chrome-utvidelser:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trender

Mest sett

Laster inn...