Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Infostealer Chrome-tillägg

Infostealer Chrome-tillägg

Med Mezo år Skadlig programvara, Stjälare
Översätt till:

Säkerhetsanalytiker har identifierat ett falskt Google Chrome-tillägg som är konstruerat för att samla in känslig data från Meta Business-miljöer. Tillägget, CL Suite av @CLMasters, presenterar sig som ett produktivitetsverktyg för användare av Meta Business Suite och Facebook Business Manager. Det marknadsförs som ett verktyg för att skrapa affärsdata, kringgå verifieringsfrågor och generera tvåfaktorsautentiseringskoder (2FA), och publicerades i Chrome Web Store den 1 mars 2025.

Trots påståenden i deras integritetspolicy om att 2FA-hemligheter och Business Manager-data förblir begränsade till den lokala miljön, avslöjar teknisk analys en annan verklighet. Tillägget begär omfattande behörigheter över domänerna meta.com och facebook.com och överför i hemlighet känslig information till angriparkontrollerad infrastruktur.

Funktioner för hemlig dataexfiltrering

Tillägget samlar in och exporterar i tysthet värdefull data från autentiserade Meta-sessioner. Exfiltrerad information skickas till en backend som finns på getauth[.]pro, med en valfri mekanism för att vidarebefordra samma nyttolaster till en Telegram-kanal som drivs av hotaktören.

Hela omfattningen av tilläggets datainsamlingsfunktioner inkluderar:

  • Stöld av TOTP-frön och aktiva 2FA-koder som används för att säkra Meta- och Facebook Business-konton
  • Utvinning av Business Manager-persondata, sammanställd till CSV-filer som innehåller namn, e-postadresser, tilldelade roller, behörighetsnivåer och åtkomststatusar
  • Uppräkning av Business Manager-enheter och länkade tillgångar, inklusive annonskonton, associerade sidor, tillgångskopplingar, faktureringskonfigurationer och betalningsuppgifter

Även om tillägget inte direkt fångar upp lösenord, kan angripare kombinera de stulna tidsbaserade engångslösenorden med inloggningsuppgifter från infostealer-loggar eller läckta databaser för att få obehörig åtkomst till kontot.

Säkerhetsforskare varnar för att även med en relativt liten installationsbas är den insamlade informationen tillräcklig för att identifiera värdefulla företagsmål och underlätta uppföljningsattacker.

Skrapning förklädd till produktivitet

Fallet med CL Suite illustrerar hur snävt begränsade webbläsartillägg kan dölja aggressiv datainsamling som legitima arbetsflödesförbättringar. Funktioner som kontaktutvinning, analysinsamling, undertryckande av popup-fönster för verifiering och generering av 2FA i webbläsaren är inte neutrala verktyg. Istället fungerar de som specialbyggda skrapor konstruerade för att suga ut kontaktlistor, metadata och autentiseringsmaterial direkt från autentiserade Meta-företagsgränssnitt.

Genom att bädda in sig i betrodda arbetsflöden kringgår sådana tillägg användarmisstankar och fungerar inom säkerhetsgränserna för aktiva sessioner.

AiFrame-kampanjen: AI-assistenter förvandlades till datamögenheter

I en separat men samordnad kampanj kallad AiFrame avslöjade forskare 32 webbläsartillägg som marknadsfördes som AI-drivna assistenter för sammanfattningar, chatt, skrivstöd och produktivitet i Gmail. Tillsammans har dessa tillägg ackumulerat mer än 260 000 installationer.

Även om de verkar legitima, förlitar sig tilläggen på en fjärrstyrd, serverdriven arkitektur. Istället för att bearbeta data lokalt bäddar de in helskärmsöverlagringar av iframes som ansluter till domänen claude.tapnetic[.]pro. Denna design gör det möjligt för operatörer att dynamiskt introducera nya funktioner utan att utfärda uppdateringar via Chrome Web Store.

När de väl är distribuerade fungerar dessa tillägg som privilegierade mellanhänder mellan webbläsaren och fjärrinfrastrukturen. När de aktiveras inspekterar de den aktiva fliken och använder Mozillas Readability-bibliotek för att extrahera artikelinnehåll. Ytterligare funktioner inkluderar att initiera taligenkänning och överföra inspelade transkript till externa servrar.

En delmängd av tilläggen riktar sig specifikt mot Gmail. När användare besöker mail.google.com och aktiverar AI-drivna svars- eller sammanfattningsfunktioner extraheras synligt e-postinnehåll direkt från dokumentobjektmodellen (DOM) och överförs till tredjeparts backend-system som kontrolleras av operatörerna. Följaktligen kan e-postinnehåll och kontextuell metadata överföras bortom Gmails skyddade miljö till fjärrservrar utan tydlig användarmedvetenhet.

Storskalig missbruk av tillägg och dataförmedling

Missbruket av webbläsartillägg är inte begränsat till isolerade kampanjer. Forskare har också identifierat 287 Chrome-tillägg som tillsammans har installerats 37,4 miljoner gånger, ungefär 1 % av den globala Chrome-användarbasen, och som strö över webbhistorik till datamäklare.

Tidigare undersökningar har visat hur insamlad webbläsardata aggregeras och intäktsgenereras av företag som Similarweb och Alexa. Dessa resultat understryker i vilken skala tilläggsbaserad övervakning kan fungera.

Stärka försvaret mot skadliga tillägg

Med tanke på det eskalerande hotbilden bör organisationer och enskilda användare anta disciplinerade metoder för hantering av tillägg. Effektiva försvarsåtgärder inkluderar:

  • Installera endast viktiga, väl granskade tillägg från officiella marknadsplatser
  • Genomföra regelbundna granskningar av installerade tillägg för att upptäcka överdrivna behörigheter eller avvikande beteende.
  • Använda separata webbläsarprofiler för känsliga aktiviteter
  • Implementera tillåtelselistning för tillägg i företagsmiljöer för att blockera obehöriga eller icke-kompatibla tillägg

Webbläsartillägg fungerar med betydande behörigheter inom betrodda sessioner. Utan rigorös övervakning kan de bli kraftfulla kanaler för datautdragning och kompromettering av autentiseringsuppgifter.

System Messages

The following system messages may be associated with Infostealer Chrome-tillägg:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trendigt

Mest sedda

Läser in...