Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Zgjerimet e Infostealer Chrome

Zgjerimet e Infostealer Chrome

Nga MezoMalware, Vjedhësit
Përkthe në:

Analistët e sigurisë kanë identifikuar një shtesë mashtruese të Google Chrome të projektuar për të mbledhur të dhëna të ndjeshme nga mjediset Meta Business. Shtesa, CL Suite nga @CLMasters, paraqitet si një mjet produktiviteti për përdoruesit e Meta Business Suite dhe Facebook Business Manager. I promovuar si një mjet për mbledhjen e të dhënave të biznesit, anashkalimin e kërkesave të verifikimit dhe gjenerimin e kodeve të autentifikimit me dy faktorë (2FA), u publikua në Chrome Web Store më 1 mars 2025.

Pavarësisht pretendimeve në politikën e saj të privatësisë se sekretet e 2FA-së dhe të dhënat e Business Manager mbeten të kufizuara në mjedisin lokal, analiza teknike zbulon një realitet të ndryshëm. Shtesa kërkon leje të gjera mbi domenet meta.com dhe facebook.com dhe transmeton fshehurazi informacione të ndjeshme në infrastrukturën e kontrolluar nga sulmuesit.

Aftësitë e nxjerrjes së të dhënave të fshehta

Zgjerimi mbledh dhe eksporton në heshtje të dhëna me vlerë të lartë nga seancat Meta të autentifikuara. Informacioni i nxjerrë dërgohet në një backend të strehuar në getauth[.]pro, me një mekanizëm opsional për të përcjellë të njëjtat ngarkesa në një kanal Telegram të operuar nga aktori kërcënues.

Shtrirja e plotë e funksionalitetit të mbledhjes së të dhënave të zgjerimit përfshin:

  • Vjedhja e farërave TOTP dhe kodeve aktive 2FA të përdorura për të siguruar llogaritë Meta dhe Facebook Business
  • Nxjerrja e të dhënave 'Njerëz' të Business Manager, të përpiluara në skedarë CSV që përmbajnë emra, adresa email-i, role të caktuara, nivele lejesh dhe statuse aksesi.
  • Numërimi i entiteteve të Business Manager dhe aseteve të lidhura, duke përfshirë llogaritë e reklamave, faqet e lidhura, lidhjet e aseteve, konfigurimet e faturimit dhe detajet e pagesës

Edhe pse shtesa nuk kap drejtpërdrejt fjalëkalimet, sulmuesit mund të kombinojnë fjalëkalimet e vjedhura njëpërdorimëshe të bazuara në kohë me kredencialet e marra nga regjistrat e vjedhjes së informacionit ose bazat e të dhënave të rrjedhura për të fituar akses të paautorizuar në llogari.

Studiuesit e sigurisë paralajmërojnë se edhe me një bazë instalimesh relativisht të vogël, inteligjenca e mbledhur është e mjaftueshme për të identifikuar objektivat e korporatave me vlerë të lartë dhe për të lehtësuar sulmet pasuese.

Gërvishtje e maskuar si produktivitet

Rasti i CL Suite ilustron se si zgjerimet e shfletuesit me fushëveprim të ngushtë mund të maskojnë mbledhjen agresive të të dhënave si përmirësime legjitime të rrjedhës së punës. Karakteristika të tilla si nxjerrja e kontakteve, mbledhja e analizave, shtypja e dritareve që shfaqen në verifikim dhe gjenerimi i 2FA-ve në shfletues nuk janë shërbime neutrale. Në vend të kësaj, ato funksionojnë si scraper-a të ndërtuar posaçërisht, të projektuar për të thithur listat e kontakteve, meta të dhënat dhe materialin e autentifikimit direkt nga ndërfaqet e biznesit Meta të autentifikuara.

Duke u integruar në rrjedhat e punës të besueshme, zgjerime të tilla anashkalojnë dyshimet e përdoruesit dhe veprojnë brenda kufijve të sigurisë së seancave aktive.

Fushata AiFrame: Asistentët e IA-së u Shndërruan në Proksi të të Dhënave

Në një fushatë të veçantë, por të koordinuar, të quajtur AiFrame, studiuesit zbuluan 32 zgjerime të shfletuesit të tregtuara si asistentë të mundësuar nga inteligjenca artificiale për përmbledhje, biseda, mbështetje me shkrim dhe produktivitet në Gmail. Së bashku, këto shtesa kanë grumbulluar më shumë se 260,000 instalime.

Edhe pse duken të ligjshme, zgjerimet mbështeten në një arkitekturë të largët, të drejtuar nga serveri. Në vend që të përpunojnë të dhënat në nivel lokal, ato përfshijnë mbivendosje të iframe me ekran të plotë që lidhen me domenin claude.tapnetic[.]pro. Ky dizajn u mundëson operatorëve të prezantojnë në mënyrë dinamike aftësi të reja pa lëshuar përditësime përmes Chrome Web Store.

Pasi të vendosen, këto zgjerime veprojnë si ndërmjetës të privilegjuar midis shfletuesit dhe infrastrukturës në distancë. Kur aktivizohen, ato inspektojnë skedën aktive dhe përdorin bibliotekën e Lexueshmërisë së Mozilla-s për të nxjerrë përmbajtjen e artikullit. Aftësitë shtesë përfshijnë inicimin e njohjes së të folurit dhe transmetimin e transkripteve të kapura në serverë të jashtëm.

Një nëngrup i shtesave synon posaçërisht Gmail-in. Kur përdoruesit hyjnë në mail.google.com dhe aktivizojnë veçoritë e përgjigjes ose përmbledhjes të drejtuara nga inteligjenca artificiale, përmbajtja e dukshme e email-it nxirret direkt nga modeli i objektit të dokumentit (DOM) dhe transmetohet në sistemet e palëve të treta të kontrolluara nga operatorët. Si pasojë, përmbajtja e email-it dhe meta të dhënat kontekstuale mund të transferohen përtej mjedisit të mbrojtur të Gmail-it në servera të largët pa vetëdije të qartë të përdoruesit.

Abuzimi i Shtojcave në Shkallë të Gjerë dhe Ndërmjetësimi i të Dhënave

Keqpërdorimi i shtesave të shfletuesit nuk kufizohet vetëm në fushata të izoluara. Studiuesit kanë identifikuar gjithashtu 287 shtesa të Chrome që janë instaluar së bashku 37.4 milion herë, afërsisht 1% e bazës globale të përdoruesve të Chrome, dhe që ua kalojnë historikun e shfletimit ndërmjetësve të të dhënave.

Hetimet e mëparshme kanë treguar se si të dhënat e mbledhura të shfletimit grumbullohen dhe monetizohen nga kompani të tilla si Similarweb dhe Alexa. Këto gjetje nënvizojnë shkallën në të cilën mund të funksionojë mbikëqyrja e bazuar në zgjerime.

Forcimi i Mbrojtjes Kundër Zgjerimeve Dashakeqe

Duke pasur parasysh peizazhin e kërcënimeve në rritje, organizatat dhe përdoruesit individualë duhet të miratojnë praktika të disiplinuara të menaxhimit të zgjerimeve. Masat efektive mbrojtëse përfshijnë:

  • Instalimi vetëm i zgjerimeve thelbësore dhe të mirë-vlerësuara nga tregjet zyrtare
  • Kryerja e auditimeve periodike të shtesave të instaluara për të zbuluar leje të tepërta ose sjellje anormale
  • Përdorimi i profileve të ndara të shfletuesit për aktivitete të ndjeshme
  • Implementimi i listës së lejimeve të zgjerimeve brenda mjediseve të ndërmarrjeve për të bllokuar shtesat e paautorizuara ose jo në përputhje me rregullat

Zgjerimet e shfletuesit funksionojnë me privilegje të konsiderueshme brenda seancave të besuara. Pa mbikëqyrje të rreptë, ato mund të bëhen kanale të fuqishme për nxjerrjen e të dhënave dhe kompromentimin e kredencialeve.

System Messages

The following system messages may be associated with Zgjerimet e Infostealer Chrome:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Në trend

Më e shikuara

Po ngarkohet...