Rozszerzenia Infostealer Chrome

Analitycy ds. bezpieczeństwa zidentyfikowali złośliwe rozszerzenie do przeglądarki Google Chrome, którego celem jest zbieranie poufnych danych ze środowisk Meta Business. Rozszerzenie, CL Suite firmy @CLMasters, prezentuje się jako narzędzie zwiększające produktywność użytkowników Meta Business Suite i Facebook Business Manager. Promowane jako narzędzie do scrapowania danych biznesowych, omijania monitów weryfikacyjnych i generowania kodów uwierzytelniania dwuskładnikowego (2FA), zostało opublikowane w Chrome Web Store 1 marca 2025 roku.

Pomimo zapewnień zawartych w polityce prywatności, że poufne dane uwierzytelniania dwuskładnikowego (2FA) i dane Menedżera Biznesu pozostają ograniczone do środowiska lokalnego, analiza techniczna ujawnia inną rzeczywistość. Rozszerzenie żąda szerokich uprawnień w domenach meta.com i facebook.com i potajemnie przesyła poufne informacje do infrastruktury kontrolowanej przez atakujących.

Możliwości tajnej eksfiltracji danych

Rozszerzenie dyskretnie gromadzi i eksportuje wartościowe dane z uwierzytelnionych sesji Meta. Wyekstrahowane informacje są wysyłane do zaplecza hostowanego w getauth[.]pro, z opcjonalnym mechanizmem przekazywania tych samych danych do kanału Telegram obsługiwanego przez atakującego.

Pełny zakres funkcjonalności rozszerzenia w zakresie zbierania danych obejmuje:

• Kradzież nasion TOTP i aktywnych kodów 2FA używanych do zabezpieczania kont Meta i Facebook Business
• Ekstrakcja danych „Ludzie” menedżera biznesowego, skompilowanych w plikach CSV zawierających imiona i nazwiska, adresy e-mail, przypisane role, poziomy uprawnień i statusy dostępu
• Wyliczenie jednostek Business Manager i powiązanych zasobów, w tym kont reklamowych, powiązanych stron, połączeń zasobów, konfiguracji rozliczeń i szczegółów płatności

Mimo że dodatek nie przechwytuje bezpośrednio haseł, atakujący mogą łączyć skradzione jednorazowe hasła oparte na czasie z danymi uwierzytelniającymi pochodzącymi z dzienników osób kradnących informacje lub z wyciekłych baz danych, aby uzyskać nieautoryzowany dostęp do konta.

Badacze zajmujący się bezpieczeństwem ostrzegają, że nawet przy stosunkowo niewielkiej bazie danych zebrane informacje wystarczą do zidentyfikowania ważnych celów korporacyjnych i ułatwienia przeprowadzenia kolejnych ataków.

Zbieranie danych pod przykrywką produktywności

Przypadek CL Suite ilustruje, jak wąskozakresowe rozszerzenia przeglądarki mogą maskować agresywne zbieranie danych pod pozorem legalnych usprawnień przepływu pracy. Funkcje takie jak ekstrakcja kontaktów, gromadzenie danych analitycznych, blokowanie wyskakujących okienek weryfikacji i generowanie uwierzytelniania dwuskładnikowego w przeglądarce nie są narzędziami neutralnymi. Działają one raczej jako narzędzia do pobierania danych, zaprojektowane do pobierania list kontaktów, metadanych i materiałów uwierzytelniających bezpośrednio z uwierzytelnionych interfejsów biznesowych Meta.

Dzięki integracji z zaufanymi przepływami pracy rozszerzenia te omijają podejrzenia użytkowników i działają w ramach granic bezpieczeństwa aktywnych sesji.

Kampania AiFrame: asystenci AI stali się proxy danych

W ramach odrębnej, ale skoordynowanej kampanii o nazwie AiFrame, badacze odkryli 32 rozszerzenia do przeglądarki reklamowane jako asystenci wspomagani sztuczną inteligencją do tworzenia podsumowań, czatów, wspomagania pisania i zwiększania produktywności w Gmailu. Łącznie te dodatki zostały zainstalowane ponad 260 000 razy.

Choć wydają się legalne, rozszerzenia opierają się na zdalnej architekturze sterowanej przez serwer. Zamiast przetwarzać dane lokalnie, osadzają pełnoekranowe nakładki iframe, które łączą się z domeną claude.tapnetic[.]pro. Taka konstrukcja umożliwia operatorom dynamiczne wprowadzanie nowych funkcji bez konieczności publikowania aktualizacji w sklepie Chrome Web Store.

Po wdrożeniu rozszerzenia te działają jako uprzywilejowani pośrednicy między przeglądarką a zdalną infrastrukturą. Po uruchomieniu sprawdzają aktywną kartę i korzystają z biblioteki Readability Mozilli, aby wyodrębnić treść artykułu. Dodatkowe funkcje obejmują inicjowanie rozpoznawania mowy i przesyłanie przechwyconych transkryptów na serwery zewnętrzne.

Część rozszerzeń jest przeznaczona specjalnie dla Gmaila. Gdy użytkownicy wchodzą na stronę mail.google.com i aktywują funkcje odpowiedzi lub podsumowania oparte na sztucznej inteligencji, widoczna treść wiadomości e-mail jest wyodrębniana bezpośrednio z modelu obiektów dokumentu (DOM) i przesyłana do zewnętrznych systemów zaplecza kontrolowanych przez operatorów. W rezultacie treść wiadomości e-mail i metadane kontekstowe mogą zostać przesłane poza chronione środowisko Gmaila na zdalne serwery bez wyraźnej wiedzy użytkownika.

Nadużycia rozszerzeń na dużą skalę i handel danymi

Nadużycia związane z rozszerzeniami przeglądarki nie ograniczają się do odosobnionych kampanii. Badacze zidentyfikowali również 287 rozszerzeń Chrome, które łącznie zainstalowano 37,4 miliona razy, co stanowi około 1% globalnej bazy użytkowników Chrome, i które przekazują historię przeglądania do brokerów danych.

Poprzednie badania wykazały, jak firmy takie jak Similarweb i Alexa agregują i monetyzują zebrane dane przeglądania. Odkrycia te podkreślają skalę, na jaką może działać nadzór oparty na rozszerzeniach.

Wzmocnienie obrony przed złośliwymi rozszerzeniami

W obliczu rosnącego zagrożenia, organizacje i użytkownicy indywidualni powinni wdrożyć zdyscyplinowane praktyki zarządzania rozszerzeniami. Skuteczne środki obronne obejmują:

• Instalowanie wyłącznie niezbędnych, sprawdzonych rozszerzeń z oficjalnych sklepów
• Przeprowadzanie okresowych audytów zainstalowanych rozszerzeń w celu wykrycia nadmiernych uprawnień lub nietypowego zachowania

• Korzystanie z oddzielnych profili przeglądarki w przypadku działań wrażliwych

• Wdrażanie listy dozwolonych rozszerzeń w środowiskach korporacyjnych w celu blokowania nieautoryzowanych lub niezgodnych dodatków

Rozszerzenia przeglądarki działają z dużymi uprawnieniami w ramach zaufanych sesji. Bez rygorystycznego nadzoru mogą stać się skutecznymi kanałami do wykradania danych i naruszania poświadczeń.