Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Infostealer Chrome-extensies

Infostealer Chrome-extensies

Tegen Mezo in Malware, Dieven
Vertalen naar:

Beveiligingsanalisten hebben een malafide Google Chrome-extensie ontdekt die is ontworpen om gevoelige gegevens te verzamelen uit Meta Business-omgevingen. De extensie, CL Suite van @CLMasters, presenteert zichzelf als een productiviteitstool voor gebruikers van Meta Business Suite en Facebook Business Manager. De extensie, die wordt gepromoot als een hulpmiddel voor het scrapen van bedrijfsgegevens, het omzeilen van verificatieprompts en het genereren van tweefactorauthenticatiecodes (2FA), werd op 1 maart 2025 gepubliceerd in de Chrome Web Store.

Ondanks de bewering in het privacybeleid dat 2FA-geheimen en Business Manager-gegevens lokaal blijven, onthult technische analyse een andere realiteit. De extensie vraagt uitgebreide machtigingen aan voor de domeinen meta.com en facebook.com en verzendt heimelijk gevoelige informatie naar door de aanvaller beheerde infrastructuur.

Mogelijkheden voor heimelijke data-exfiltratie

De extensie verzamelt en exporteert op stilletjes waardevolle gegevens uit geauthenticeerde Meta-sessies. De geëxfiltreerde informatie wordt naar een backend gestuurd die gehost wordt op getauth[.]pro, met een optioneel mechanisme om dezelfde gegevens door te sturen naar een Telegram-kanaal dat beheerd wordt door de aanvaller.

De volledige functionaliteit voor het verzamelen van gegevens van de extensie omvat het volgende:

  • Diefstal van TOTP-seeds en actieve 2FA-codes die gebruikt werden om Meta- en Facebook Business-accounts te beveiligen.
  • Extractie van personeelsgegevens van bedrijfsmanagers, samengevoegd in CSV-bestanden met namen, e-mailadressen, toegewezen rollen, toegangsniveaus en toegangsstatussen.
  • Opsomming van Business Manager-entiteiten en gekoppelde assets, inclusief advertentieaccounts, bijbehorende pagina's, assetkoppelingen, factureringsconfiguraties en betalingsgegevens

Hoewel de add-on wachtwoorden niet direct vastlegt, kunnen aanvallers de gestolen, tijdsgebonden eenmalige wachtwoorden combineren met inloggegevens uit infostealer-logs of gelekte databases om ongeautoriseerde toegang tot accounts te verkrijgen.

Beveiligingsonderzoekers waarschuwen dat zelfs met een relatief kleine installatiebasis de verzamelde inlichtingen voldoende zijn om waardevolle bedrijfsdoelen te identificeren en vervolgaanvallen mogelijk te maken.

Schrapen vermomd als productiviteit

Het geval van CL Suite illustreert hoe browserextensies met een beperkte reikwijdte agressieve dataverzameling kunnen maskeren als legitieme verbeteringen van de workflow. Functies zoals het extraheren van contactgegevens, het verzamelen van analyses, het onderdrukken van verificatiepop-ups en het genereren van 2FA in de browser zijn geen neutrale hulpprogramma's. In plaats daarvan functioneren ze als speciaal ontworpen scrapers die zijn ontwikkeld om contactlijsten, metadata en authenticatiemateriaal rechtstreeks van geauthenticeerde Meta-bedrijfsinterfaces te bemachtigen.

Door zich te integreren in vertrouwde workflows, omzeilen dergelijke extensies de argwaan van de gebruiker en opereren ze binnen de beveiligingsgrenzen van actieve sessies.

De AiFrame-campagne: AI-assistenten die dataproxy’s worden

In een afzonderlijke, maar gecoördineerde campagne genaamd AiFrame, ontdekten onderzoekers 32 browserextensies die werden aangeprezen als AI-gestuurde assistenten voor samenvatten, chatten, schrijfondersteuning en Gmail-productiviteit. Deze add-ons zijn samen meer dan 260.000 keer geïnstalleerd.

Hoewel de extensies legitiem lijken, maken ze gebruik van een externe, servergestuurde architectuur. In plaats van gegevens lokaal te verwerken, integreren ze iframe-overlays op volledig scherm die verbinding maken met het domein claude.tapnetic[.]pro. Dit ontwerp stelt beheerders in staat om dynamisch nieuwe functionaliteiten toe te voegen zonder updates via de Chrome Web Store te hoeven uitbrengen.

Eenmaal geïmplementeerd fungeren deze extensies als bevoorrechte tussenpersonen tussen de browser en de externe infrastructuur. Wanneer ze worden geactiveerd, inspecteren ze het actieve tabblad en gebruiken ze Mozilla's Readability-bibliotheek om de inhoud van artikelen te extraheren. Extra mogelijkheden zijn onder meer het initiëren van spraakherkenning en het verzenden van vastgelegde transcripties naar externe servers.

Een deel van de extensies is specifiek gericht op Gmail. Wanneer gebruikers mail.google.com bezoeken en AI-gestuurde antwoord- of samenvattingsfuncties activeren, wordt de zichtbare e-mailinhoud rechtstreeks uit het documentobjectmodel (DOM) gehaald en verzonden naar externe back-endsystemen die door de beheerders worden beheerd. Hierdoor kunnen e-mailinhoud en contextuele metadata buiten de beveiligde omgeving van Gmail naar externe servers worden overgebracht zonder dat de gebruiker hiervan op de hoogte is.

Grootschalig misbruik van extensies en datahandel

Het misbruik van browserextensies beperkt zich niet tot geïsoleerde campagnes. Onderzoekers hebben ook 287 Chrome-extensies geïdentificeerd die samen 37,4 miljoen keer zijn geïnstalleerd, ongeveer 1% van het wereldwijde Chrome-gebruikersbestand, en die browsegeschiedenis doorsluizen naar datahandelaren.

Eerdere onderzoeken hebben aangetoond hoe verzamelde browsegegevens worden geaggregeerd en te gelde gemaakt door bedrijven zoals Similarweb en Alexa. Deze bevindingen onderstrepen de schaal waarop op extensies gebaseerde surveillance kan plaatsvinden.

Versterking van de verdediging tegen kwaadwillige uitbreidingen

Gezien het toenemende dreigingslandschap, dienen organisaties en individuele gebruikers gedisciplineerde praktijken voor extensiebeheer te hanteren. Effectieve verdedigingsmaatregelen omvatten:

  • Installeer alleen essentiële, goed beoordeelde extensies van officiële appwinkels.
  • Periodieke controles uitvoeren van geïnstalleerde extensies om overmatige machtigingen of afwijkend gedrag te detecteren.
  • Het gebruik van aparte browserprofielen voor gevoelige activiteiten.
  • Het implementeren van een whitelist voor extensies binnen bedrijfsomgevingen om ongeautoriseerde of niet-conforme add-ons te blokkeren.

Browser-extensies werken met aanzienlijke privileges binnen vertrouwde sessies. Zonder strikt toezicht kunnen ze een krachtig middel worden voor datalekken en het compromitteren van inloggegevens.

System Messages

The following system messages may be associated with Infostealer Chrome-extensies:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trending

Meest bekeken

Bezig met laden...