Инфостеалер проширења за Chrome

Безбедносни аналитичари су идентификовали лажно проширење за Google Chrome дизајнирано за прикупљање осетљивих података из Meta Business окружења. Проширење, CL Suite од @CLMasters, представља се као алат за продуктивност за кориснике Meta Business Suite-а и Facebook Business Manager-а. Промовисано као услужни програм за прикупљање пословних података, заобилажење упита за верификацију и генерисање кодова за двофакторску аутентификацију (2FA), објављено је у Chrome веб продавници 1. марта 2025. године.

Упркос тврдњама у политици приватности да тајне 2FA и подаци Business Manager-а остају ограничени на локално окружење, техничка анализа открива другачију стварност. Екстензија захтева опсежне дозволе за домене meta.com и facebook.com и тајно преноси осетљиве информације инфраструктури коју контролишу нападачи.

Могућности тајног извлачења података

Екстензија тихо прикупља и извози податке велике вредности из аутентификованих мета сесија. Извучене информације се шаљу на бекенд хостован на getauth[.]pro, са опционим механизмом за прослеђивање истих корисних података на Телеграм канал којим управља претња.

Комплетан обим функционалности прикупљања података проширења укључује:

• Крађа TOTP семена и активних 2FA кодова који се користе за обезбеђивање Meta и Facebook Business налога
• Издвајање података „Људи“ пословног менаџера, састављених у CSV датотеке које садрже имена, имејл адресе, додељене улоге, нивое дозвола и статусе приступа
• Набрајање ентитета Business Manager-а и повезаних средстава, укључујући огласне налоге, повезане странице, везе средстава, конфигурације наплате и детаље плаћања

Иако додатак не бележи директно лозинке, нападачи би могли да комбинују украдене једнократне лозинке засноване на времену са акредитивима добијеним из логова крађа информација или процурелих база података како би добили неовлашћени приступ налогу.

Истраживачи безбедности упозоравају да чак и са релативно малом базом инсталација, прикупљени обавештајни подаци су довољни за идентификацију корпоративних мета високе вредности и олакшавање накнадних напада.

Скрбовање прерушено у продуктивност

Случај CL Suite-а илуструје како уско ограничена проширења прегледача могу прикрити агресивно прикупљање података као легитимна побољшања радног процеса. Функције као што су екстракција контаката, прикупљање аналитичких података, сузбијање искачућих прозора за верификацију и генерисање 2FA у прегледачу нису неутрални алати. Уместо тога, оне функционишу као наменски направљени скрепери пројектовани да директно преузимају листе контаката, метаподатке и материјал за аутентификацију из аутентификованих пословних интерфејса метаподатка.

Уграђивањем у поуздане токове рада, таква проширења заобилазе сумњу корисника и раде унутар безбедносних граница активних сесија.

Кампања AiFrame: Асистенти са вештачком интелигенцијом претворени у посреднике података

У одвојеној, али координисаној кампањи названој AiFrame, истраживачи су открили 32 екстензије за прегледаче које се рекламирају као асистенти засновани на вештачкој интелигенцији за сумирање, ћаскање, подршку за писање и продуктивност у Gmail-у. Заједно, ови додаци су акумулирали више од 260.000 инсталација.

Иако делују легитимно, екстензије се ослањају на удаљену, серверску архитектуру. Уместо локалне обраде података, оне уграђују iframe преклапања преко целог екрана која се повезују са доменом claude.tapnetic[.]pro. Овај дизајн омогућава оператерима да динамички уводе нове могућности без издавања ажурирања путем Chrome веб продавнице.

Једном када се примене, ова проширења делују као привилеговани посредници између прегледача и удаљене инфраструктуре. Када се активирају, она прегледају активну картицу и користе Мозилину библиотеку за читљивост да би издвојила садржај чланка. Додатне могућности укључују покретање препознавања говора и слање снимљених транскрипата на екстерне сервере.

Подскуп екстензија је посебно усмерен на Gmail. Када корисници приступе mail.google.com и активирају функције одговора или сумирања вођене вештачком интелигенцијом, видљиви садржај имејла се директно извлачи из објектног модела документа (DOM) и преноси на бекенд системе трећих страна које контролишу оператери. Сходно томе, садржај имејла и контекстуални метаподаци могу се пренети изван заштићеног окружења Gmail-а на удаљене сервере без јасне свести корисника.

Злоупотреба екстензија великих размера и посредовање у размени података

Злоупотреба екстензија за прегледач није ограничена само на изоловане кампање. Истраживачи су такође идентификовали 287 екстензија за Chrome које су заједно инсталиране 37,4 милиона пута, што је приближно 1% глобалне базе корисника Chrome-а, и које откривају историје прегледања до брокера података.

Претходна истраживања су показала како компаније попут Similarweb-а и Alexa-е агрегирају и монетизују прикупљене податке о прегледању. Ови налази наглашавају размере у којима надзор заснован на екстензијама може да функционише.

Јачање одбране од злонамерних екстензија

С обзиром на растуће претње, организације и појединачни корисници требало би да усвоје дисциплиноване праксе управљања екстензијама. Ефикасне одбрамбене мере укључују:

• Инсталирање само неопходних, добро прегледаних екстензија са званичних тржишта
• Спровођење периодичних ревизија инсталираних екстензија ради откривања прекомерних дозвола или аномалног понашања

• Коришћење одвојених профила прегледача за осетљиве активности

• Имплементација листе дозвољених проширења у пословним окружењима ради блокирања неовлашћених или неусаглашених додатака

Екстензије прегледача раде са значајним привилегијама унутар поузданих сесија. Без строгог надзора, могу постати моћни канали за крађу података и угрожавање акредитива.