Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Extensii Chrome Infostealer

Extensii Chrome Infostealer

Până în Mezo în Programe malware, Furători
Tradu in:

Analiștii de securitate au identificat o extensie Google Chrome necinstită, concepută pentru a colecta date sensibile din mediile Meta Business. Extensia, CL Suite de la @CLMasters, se prezintă ca un instrument de productivitate pentru utilizatorii Meta Business Suite și Facebook Business Manager. Promovată ca un utilitar pentru extragerea datelor de afaceri, ocolirea solicitărilor de verificare și generarea de coduri de autentificare cu doi factori (2FA), a fost publicată în Magazinul Web Chrome pe 1 martie 2025.

În ciuda afirmațiilor din politica sa de confidențialitate conform cărora secretele 2FA și datele Business Manager rămân limitate la mediul local, analiza tehnică dezvăluie o realitate diferită. Extensia solicită permisiuni extinse asupra domeniilor meta.com și facebook.com și transmite în mod secret informații sensibile către infrastructura controlată de atacatori.

Capacități de exfiltrare a datelor sub acoperire

Extensia colectează și exportă în mod silențios date de mare valoare din sesiunile Meta autentificate. Informațiile exfiltrate sunt trimise către un backend găzduit la getauth[.]pro, cu un mecanism opțional de a transmite aceleași sarcini către un canal Telegram operat de actorul amenințător.

Gama completă de funcționalități de recoltare a datelor ale extensiei include:

  • Furtul de semințe TOTP și coduri 2FA active folosite pentru securizarea conturilor Meta și Facebook Business
  • Extragerea datelor „Personal” ale Business Manager, compilate în fișiere CSV care conțin nume, adrese de e-mail, roluri atribuite, niveluri de permisiune și stări de acces
  • Enumerarea entităților Business Manager și a activelor conectate, inclusiv conturi de publicitate, pagini asociate, conexiuni la active, configurații de facturare și detalii de plată

Deși extensia nu capturează direct parolele, atacatorii ar putea combina parolele de unică folosință furate, bazate pe timp, cu acreditări provenite din jurnalele infostealer sau din baze de date divulgate pentru a obține acces neautorizat la cont.

Cercetătorii în domeniul securității avertizează că, chiar și cu o bază de instalații relativ mică, informațiile colectate sunt suficiente pentru a identifica ținte corporative de mare valoare și pentru a facilita atacuri ulterioare.

Răzuire deghizată în productivitate

Cazul CL Suite ilustrează modul în care extensiile de browser cu domeniu de aplicare restrâns pot deghiza colectarea agresivă de date drept îmbunătățiri legitime ale fluxului de lucru. Funcții precum extragerea contactelor, colectarea de analize, suprimarea ferestrelor pop-up de verificare și generarea de 2FA în browser nu sunt utilitare neutre. În schimb, acestea funcționează ca niște scrapere special concepute pentru a extrage liste de contacte, metadate și materiale de autentificare direct din interfețele Meta de business autentificate.

Prin integrarea lor în fluxuri de lucru de încredere, astfel de extensii evită suspiciunile utilizatorilor și funcționează în limitele de securitate ale sesiunilor active.

Campania AiFrame: Asistenții AI transformați în proxy-uri de date

Într-o campanie separată, dar coordonată, numită AiFrame, cercetătorii au descoperit 32 de extensii de browser comercializate ca asistenți bazați pe inteligență artificială pentru rezumat, chat, asistență pentru scriere și productivitate în Gmail. Împreună, aceste extensii au acumulat peste 260.000 de instalări.

Deși par legitime, extensiile se bazează pe o arhitectură la distanță, bazată pe server. În loc să proceseze datele local, ele încorporează suprapuneri iframe pe ecran complet care se conectează la domeniul claude.tapnetic[.]pro. Acest design permite operatorilor să introducă dinamic noi capabilități fără a emite actualizări prin Magazinul Web Chrome.

Odată implementate, aceste extensii acționează ca intermediari privilegiați între browser și infrastructura la distanță. Când sunt declanșate, ele inspectează fila activă și utilizează biblioteca Readability a Mozilla pentru a extrage conținutul articolului. Printre capacitățile suplimentare se numără inițierea recunoașterii vocale și transmiterea transcrierilor capturate către servere externe.

Un subset al extensiilor vizează în mod specific Gmail. Când utilizatorii accesează mail.google.com și activează funcții de răspuns sau de sumarizare bazate pe inteligență artificială, conținutul vizibil al e-mailului este extras direct din modelul de obiect al documentului (DOM) și transmis către sisteme backend terțe controlate de operatori. Prin urmare, conținutul e-mailului și metadatele contextuale pot fi transferate dincolo de mediul protejat al Gmail către servere la distanță fără o informare clară din partea utilizatorului.

Abuzul extensiilor la scară largă și brokerajul de date

Utilizarea abuzivă a extensiilor de browser nu se limitează la campanii izolate. Cercetătorii au identificat, de asemenea, 287 de extensii Chrome care au fost instalate în total de 37,4 milioane de ori, aproximativ 1% din baza globală de utilizatori Chrome, și care extrag istoricul de navigare către brokeri de date.

Investigațiile anterioare au demonstrat modul în care datele de navigare colectate sunt agregate și monetizate de companii precum Similarweb și Alexa. Aceste descoperiri subliniază amploarea la care poate funcționa supravegherea bazată pe extensii.

Consolidarea apărării împotriva extensiilor rău intenționate

Având în vedere peisajul amenințărilor în creștere, organizațiile și utilizatorii individuali ar trebui să adopte practici disciplinate de gestionare a extensiilor. Măsurile defensive eficiente includ:

  • Instalarea doar a extensiilor esențiale, bine evaluate, de pe marketplace-urile oficiale
  • Efectuarea de audituri periodice ale extensiilor instalate pentru a detecta permisiuni excesive sau comportamente anormale
  • Utilizarea profilurilor de browser separate pentru activități sensibile
  • Implementarea listei de permisiuni pentru extensii în mediile de întreprindere pentru a bloca extensiile neautorizate sau neconforme

Extensiile de browser funcționează cu privilegii semnificative în interiorul sesiunilor de încredere. Fără o supraveghere riguroasă, acestea pot deveni canale puternice pentru exfiltrarea datelor și compromiterea acreditărilor.

System Messages

The following system messages may be associated with Extensii Chrome Infostealer:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trending

Cele mai văzute

Se încarcă...