Расширения Infostealer для Chrome

Специалисты по безопасности обнаружили вредоносное расширение для Google Chrome, предназначенное для сбора конфиденциальных данных из среды Meta Business. Расширение CL Suite от @CLMasters позиционируется как инструмент повышения производительности для пользователей Meta Business Suite и Facebook Business Manager. Рекламируемое как утилита для сбора бизнес-данных, обхода запросов на подтверждение и генерации кодов двухфакторной аутентификации (2FA), оно было опубликовано в Chrome Web Store 1 марта 2025 года.

Несмотря на заявления в политике конфиденциальности о том, что секреты двухфакторной аутентификации и данные Business Manager остаются в локальной среде, технический анализ показывает иную реальность. Расширение запрашивает обширные разрешения для доменов meta.com и facebook.com и скрытно передает конфиденциальную информацию на инфраструктуру, контролируемую злоумышленником.

Возможности скрытой утечки данных

Расширение незаметно собирает и экспортирует ценные данные из аутентифицированных сессий Meta. Украденная информация отправляется на бэкэнд, размещенный на getauth[.]pro, с возможностью пересылки тех же данных в канал Telegram, управляемый злоумышленником.

Полный функционал расширения для сбора данных включает в себя:

• Кража TOTP-сидов и активных кодов двухфакторной аутентификации, используемых для защиты бизнес-аккаунтов Meta и Facebook.
• Извлечение данных о сотрудниках отдела управления бизнесом, скомпилированных в CSV-файлы, содержащие имена, адреса электронной почты, назначенные роли, уровни доступа и статусы доступа.
• Перечень объектов Business Manager и связанных с ними ресурсов, включая рекламные аккаунты, связанные страницы, связи с ресурсами, настройки выставления счетов и платежные данные.

Хотя это дополнение не перехватывает пароли напрямую, злоумышленники могут объединить украденные одноразовые пароли с указанием времени с учетными данными, полученными из журналов Infostealer или утечек баз данных, чтобы получить несанкционированный доступ к учетной записи.

Исследователи в области информационной безопасности предупреждают, что даже при относительно небольшой базе установленных систем собранной информации достаточно для выявления важных корпоративных целей и содействия последующим атакам.

Сокращение расходов под видом повышения производительности

Пример CL Suite иллюстрирует, как узкоспециализированные расширения для браузеров могут маскировать агрессивный сбор данных под законные улучшения рабочих процессов. Такие функции, как извлечение контактов, сбор аналитики, подавление всплывающих окон подтверждения и генерация двухфакторной аутентификации в браузере, не являются нейтральными утилитами. Вместо этого они функционируют как специально разработанные парсеры, предназначенные для извлечения списков контактов, метаданных и материалов аутентификации непосредственно из аутентифицированных бизнес-интерфейсов Meta.

Встраиваясь в доверенные рабочие процессы, такие расширения обходят подозрения пользователей и работают в рамках безопасности активных сессий.

Кампания AiFrame: ИИ-помощники как прокси-серверы данных

В рамках отдельной, но скоординированной кампании под названием AiFrame исследователи обнаружили 32 расширения для браузеров, позиционируемых как помощники на основе искусственного интеллекта для составления кратких обзоров, чата, поддержки написания текстов и повышения производительности Gmail. В совокупности эти дополнения были установлены более 260 000 раз.

Несмотря на кажущуюся легитимность, эти расширения используют удаленную серверную архитектуру. Вместо локальной обработки данных они встраивают полноэкранные iframe-наложения, которые подключаются к домену claude.tapnetic[.]pro. Такая конструкция позволяет операторам динамически внедрять новые возможности без выпуска обновлений через Chrome Web Store.

После развертывания эти расширения выступают в качестве привилегированных посредников между браузером и удаленной инфраструктурой. При срабатывании они проверяют активную вкладку и используют библиотеку Readability от Mozilla для извлечения содержимого статьи. Дополнительные возможности включают запуск распознавания речи и передачу захваченных стенограмм на внешние серверы.

Часть расширений специально нацелена на Gmail. Когда пользователи заходят на mail.google.com и активируют функции ответа или аннотирования, управляемые искусственным интеллектом, видимое содержимое электронного письма извлекается непосредственно из объектной модели документа (DOM) и передается в сторонние бэкэнд-системы, контролируемые операторами. Следовательно, содержимое электронного письма и контекстные метаданные могут передаваться за пределы защищенной среды Gmail на удаленные серверы без явного ведома пользователя.

Масштабное злоупотребление расширениями и посредничество в передаче данных

Злоупотребление расширениями для браузеров не ограничивается отдельными кампаниями. Исследователи также выявили 287 расширений для Chrome, которые были установлены в общей сложности 37,4 миллиона раз, что составляет примерно 1% от мировой базы пользователей Chrome, и которые передают историю просмотров брокерам данных.

Предыдущие исследования показали, как собранные данные о просмотре веб-страниц агрегируются и монетизируются такими компаниями, как Similarweb и Alexa. Эти результаты подчеркивают масштабы, в которых может осуществляться слежка с использованием расширений.

Усиление защиты от вредоносных расширений

В условиях обострения угроз организациям и отдельным пользователям следует внедрить дисциплинированные методы управления расширенными функциями. Эффективные меры защиты включают в себя:

• Устанавливайте только необходимые, получившие хорошие отзывы расширения из официальных магазинов.
• Проведение периодических проверок установленных расширений для выявления избыточных разрешений или аномального поведения.

• Использование отдельных профилей браузера для конфиденциальных действий.

• Внедрение системы разрешенных расширений в корпоративных средах для блокировки несанкционированных или не соответствующих требованиям надстроек.

Расширения для браузеров работают со значительными привилегиями внутри доверенных сессий. Без тщательного контроля они могут стать мощными каналами для утечки данных и компрометации учетных данных.