Rozšírenia Infostealer pre Chrome

Bezpečnostní analytici identifikovali falošné rozšírenie pre prehliadač Google Chrome, ktoré bolo navrhnuté na zhromažďovanie citlivých údajov z prostredia Meta Business. Rozšírenie CL Suite od @CLMasters sa prezentuje ako nástroj na zvýšenie produktivity pre používateľov Meta Business Suite a Facebook Business Manager. Propagované ako nástroj na získavanie obchodných údajov, obchádzanie overovacích výziev a generovanie kódov dvojfaktorového overovania (2FA) bolo zverejnené v internetovom obchode Chrome 1. marca 2025.

Napriek tvrdeniam v zásadách ochrany osobných údajov, že tajné údaje 2FA a údaje Business Managera zostávajú obmedzené na lokálne prostredie, technická analýza odhaľuje inú realitu. Rozšírenie požaduje rozsiahle povolenia pre domény meta.com a facebook.com a tajne prenáša citlivé informácie do infraštruktúry kontrolovanej útočníkom.

Možnosti skrytého úniku údajov

Rozšírenie ticho zhromažďuje a exportuje vysokocenné dáta z overených meta relácií. Získané informácie sa odosielajú na backend hostovaný na getauth[.]pro s voliteľným mechanizmom na preposielanie rovnakých dát do telegramového kanála prevádzkovaného útočníkom.

Úplný rozsah funkcií zberu údajov rozšírenia zahŕňa:

• Krádež semien TOTP a aktívnych kódov 2FA používaných na zabezpečenie účtov Meta a Facebook Business
• Extrakcia údajov o ľuďoch obchodného manažéra, zostavených do súborov CSV obsahujúcich mená, e-mailové adresy, priradené role, úrovne oprávnení a stavy prístupu
• Výpočet entít Business Manageru a prepojených aktív vrátane reklamných účtov, priradených stránok, prepojení aktív, konfigurácií fakturácie a platobných údajov

Hoci doplnok priamo nezachytáva heslá, útočníci by mohli skombinovať ukradnuté jednorazové heslá s časovo obmedzeným prístupom s prihlasovacími údajmi získanými z protokolov informačného krádeža alebo z uniknutých databáz, aby získali neoprávnený prístup k účtu.

Bezpečnostní výskumníci varujú, že aj s relatívne malou základňou inštalácií sú zhromaždené informácie dostatočné na identifikáciu vysokohodnotných firemných cieľov a uľahčenie následných útokov.

Škrabanie maskované ako produktivita

Prípad balíka CL Suite ilustruje, ako úzko zamerané rozšírenia prehliadača môžu maskovať agresívny zber údajov ako legitímne vylepšenia pracovného postupu. Funkcie ako extrakcia kontaktov, zhromažďovanie analytických údajov, potlačenie vyskakovacích okien pri overovaní a generovanie 2FA v prehliadači nie sú neutrálne nástroje. Namiesto toho fungujú ako účelové scrapery navrhnuté tak, aby odoberali zoznamy kontaktov, metadáta a autentifikačný materiál priamo z autentifikovaných obchodných rozhraní Meta.

Vďaka integrácii do dôveryhodných pracovných postupov sa takéto rozšírenia vyhýbajú podozrievaniu používateľov a fungujú v rámci bezpečnostných hraníc aktívnych relácií.

Kampaň AiFrame: Asistenti s umelou inteligenciou sa stali dátovými proxy

V samostatnej, ale koordinovanej kampani s názvom AiFrame výskumníci odhalili 32 rozšírení prehliadača, ktoré sa predávajú ako asistenti s umelou inteligenciou pre sumarizáciu, chat, podporu písania a produktivitu Gmailu. Spolu sa nahromadilo viac ako 260 000 inštalácií týchto doplnkov.

Hoci sa rozšírenia zdajú byť legitímne, spoliehajú sa na vzdialenú, serverom riadenú architektúru. Namiesto lokálneho spracovania údajov vkladajú celoobrazovkové prekrytia iframe, ktoré sa pripájajú k doméne claude.tapnetic[.]pro. Tento dizajn umožňuje operátorom dynamicky zavádzať nové funkcie bez vydávania aktualizácií prostredníctvom Internetového obchodu Chrome.

Po nasadení tieto rozšírenia fungujú ako privilegovaní sprostredkovatelia medzi prehliadačom a vzdialenou infraštruktúrou. Po spustení skontrolujú aktívnu kartu a pomocou knižnice Readability od Mozilly extrahujú obsah článku. Medzi ďalšie funkcie patrí spustenie rozpoznávania reči a prenos zachytených prepisov na externé servery.

Podmnožina rozšírení je špecificky zameraná na Gmail. Keď používatelia pristupujú na stránku mail.google.com a aktivujú funkcie odpovede alebo sumarizácie riadené umelou inteligenciou, viditeľný obsah e-mailu sa extrahuje priamo z modelu objektov dokumentu (DOM) a prenáša sa do backendových systémov tretích strán, ktoré riadia operátori. V dôsledku toho sa obsah e-mailu a kontextové metadáta môžu prenášať mimo chráneného prostredia Gmailu na vzdialené servery bez jasného vedomia používateľa.

Zneužívanie rozšírení vo veľkom meradle a sprostredkovanie údajov

Zneužívanie rozšírení prehliadača sa neobmedzuje len na izolované kampane. Výskumníci tiež identifikovali 287 rozšírení prehliadača Chrome, ktoré boli spolu nainštalované 37,4 milióna krát, čo predstavuje približne 1 % globálnej používateľskej základne prehliadača Chrome, a ktoré odovzdávajú históriu prehliadania dátovým sprostredkovateľom.

Predchádzajúce výskumy ukázali, ako spoločnosti ako Similarweb a Alexa agregujú a speňažujú zozbierané údaje o prehliadaní. Tieto zistenia zdôrazňujú rozsah, v akom môže fungovať sledovanie založené na rozšíreniach.

Posilnenie obrany proti škodlivým rozšíreniam

Vzhľadom na rastúcu situáciu s hrozbami by organizácie a individuálni používatelia mali prijať disciplinované postupy riadenia rozšírení. Medzi účinné obranné opatrenia patria:

• Inštalácia iba nevyhnutných, dobre overených rozšírení z oficiálnych trhovísk
• Vykonávanie pravidelných auditov nainštalovaných rozšírení s cieľom odhaliť nadmerné povolenia alebo anomálne správanie

• Používanie samostatných profilov prehliadača pre citlivé aktivity

• Implementácia zoznamu povolených rozšírení v podnikových prostrediach na blokovanie neoprávnených alebo nekompatibilných doplnkov

Rozšírenia prehliadača fungujú s významnými privilégiami v rámci dôveryhodných relácií. Bez prísneho dohľadu sa môžu stať silnými kanálmi pre únik údajov a kompromitáciu poverení.