Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Extensões do Chrome Infostealer

Extensões do Chrome Infostealer

Por Mezo em Malware, Ladrões
Traduzir Para:

Analistas de segurança identificaram uma extensão maliciosa do Google Chrome projetada para coletar dados confidenciais de ambientes Meta Business. A extensão, CL Suite, criada por @CLMasters, se apresenta como uma ferramenta de produtividade para usuários do Meta Business Suite e do Facebook Business Manager. Promovida como um utilitário para extrair dados empresariais, burlar solicitações de verificação e gerar códigos de autenticação de dois fatores (2FA), ela foi publicada na Chrome Web Store em 1º de março de 2025.

Apesar das alegações em sua política de privacidade de que os segredos da autenticação de dois fatores (2FA) e os dados do Gerenciador de Negócios permanecem confinados ao ambiente local, análises técnicas revelam uma realidade diferente. A extensão solicita amplas permissões sobre os domínios meta.com e facebook.com e transmite informações confidenciais de forma oculta para uma infraestrutura controlada pelo invasor.

Capacidades de exfiltração de dados secretas

A extensão coleta e exporta silenciosamente dados valiosos de sessões Meta autenticadas. As informações exfiltradas são enviadas para um servidor hospedado em getauth[.]pro, com um mecanismo opcional para encaminhar as mesmas cargas úteis para um canal do Telegram operado pelo agente da ameaça.

O escopo completo da funcionalidade de coleta de dados da extensão inclui:

  • Roubo de chaves TOTP e códigos 2FA ativos usados para proteger contas do Meta e do Facebook Business.
  • Extração de dados de "Pessoas" do Gerente de Negócios, compilados em arquivos CSV contendo nomes, endereços de e-mail, funções atribuídas, níveis de permissão e status de acesso.
  • Enumeração das entidades do Business Manager e ativos vinculados, incluindo contas de anúncios, páginas associadas, conexões de ativos, configurações de faturamento e detalhes de pagamento.

Embora o complemento não capture senhas diretamente, os invasores podem combinar as senhas de uso único baseadas em tempo roubadas com credenciais obtidas em registros de roubo de informações ou bancos de dados vazados para obter acesso não autorizado à conta.

Pesquisadores de segurança alertam que, mesmo com uma base de instalação relativamente pequena, as informações coletadas são suficientes para identificar alvos corporativos de alto valor e facilitar ataques subsequentes.

Raspagem de dados disfarçada de produtividade

O caso do CL Suite ilustra como extensões de navegador com escopo limitado podem disfarçar a coleta agressiva de dados como melhorias legítimas no fluxo de trabalho. Recursos como extração de contatos, coleta de dados analíticos, supressão de pop-ups de verificação e geração de autenticação de dois fatores (2FA) no navegador não são utilitários neutros. Em vez disso, funcionam como ferramentas de extração de dados projetadas especificamente para coletar listas de contatos, metadados e material de autenticação diretamente das interfaces de negócios autenticadas da Meta.

Ao se integrarem em fluxos de trabalho confiáveis, essas extensões contornam a suspeita do usuário e operam dentro dos limites de segurança das sessões ativas.

A campanha AiFrame: assistentes de IA transformados em representantes de dados

Em uma campanha separada, mas coordenada, chamada AiFrame, pesquisadores descobriram 32 extensões de navegador comercializadas como assistentes com inteligência artificial para resumo, bate-papo, suporte à escrita e produtividade no Gmail. Juntas, essas extensões acumularam mais de 260.000 instalações.

Embora aparentem ser legítimas, as extensões dependem de uma arquitetura remota, baseada em servidor. Em vez de processar os dados localmente, elas incorporam sobreposições de iframe em tela cheia que se conectam ao domínio claude.tapnetic[.]pro. Esse design permite que os operadores introduzam dinamicamente novas funcionalidades sem precisar publicar atualizações pela Chrome Web Store.

Uma vez implantadas, essas extensões atuam como intermediárias privilegiadas entre o navegador e a infraestrutura remota. Quando acionadas, elas inspecionam a aba ativa e usam a biblioteca Readability da Mozilla para extrair o conteúdo do artigo. Recursos adicionais incluem o reconhecimento de voz e a transmissão de transcrições capturadas para servidores externos.

Um subconjunto das extensões tem como alvo específico o Gmail. Quando os usuários acessam mail.google.com e ativam os recursos de resposta ou resumo baseados em IA, o conteúdo visível do e-mail é extraído diretamente do modelo de objeto do documento (DOM) e transmitido para sistemas de terceiros controlados pelos operadores. Consequentemente, o conteúdo do e-mail e os metadados contextuais podem ser transferidos para servidores remotos, fora do ambiente protegido do Gmail, sem o conhecimento explícito do usuário.

Abuso de extensões em larga escala e corretagem de dados

O uso indevido de extensões de navegador não se limita a campanhas isoladas. Pesquisadores também identificaram 287 extensões do Chrome que foram instaladas coletivamente 37,4 milhões de vezes, aproximadamente 1% da base global de usuários do Chrome, e que extraem históricos de navegação para corretores de dados.

Investigações anteriores demonstraram como os dados de navegação coletados são agregados e monetizados por empresas como Similarweb e Alexa. Essas descobertas ressaltam a escala em que a vigilância baseada em extensões pode operar.

Fortalecendo a defesa contra extensões maliciosas

Diante do cenário de ameaças cada vez mais complexo, organizações e usuários individuais devem adotar práticas disciplinadas de gerenciamento de extensões. Medidas defensivas eficazes incluem:

  • Instalar apenas extensões essenciais e bem avaliadas de lojas oficiais.
  • Realizar auditorias periódicas das extensões instaladas para detectar permissões excessivas ou comportamentos anômalos.
  • Utilizar perfis de navegador separados para atividades sensíveis.
  • Implementar listas de permissões de extensões em ambientes corporativos para bloquear complementos não autorizados ou não compatíveis.

As extensões de navegador operam com privilégios significativos dentro de sessões confiáveis. Sem uma supervisão rigorosa, elas podem se tornar poderosos canais para exfiltração de dados e comprometimento de credenciais.

System Messages

The following system messages may be associated with Extensões do Chrome Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Tendendo

Mais visto

Carregando...