Multi-License Discount Quote
Banta sa Database Malware Mga Extension ng Infostealer Chrome

Mga Extension ng Infostealer Chrome

Sa pamamagitan ng Mezo sa Malware, Mga magnanakaw
Isalin To:

Natukoy ng mga security analyst ang isang pekeng extension ng Google Chrome na ginawa para kumuha ng sensitibong data mula sa mga kapaligirang Meta Business. Ang extension na CL Suite ng @CLMasters ay nagpapakita ng sarili bilang isang productivity tool para sa mga gumagamit ng Meta Business Suite at Facebook Business Manager. Na-promote bilang isang utility para sa pag-scrape ng data ng negosyo, pag-bypass sa mga verification prompt, at pagbuo ng mga two-factor authentication (2FA) code, at inilathala ito sa Chrome Web Store noong Marso 1, 2025.

Sa kabila ng mga pahayag sa patakaran sa privacy nito na ang mga sikreto ng 2FA at data ng Business Manager ay nananatiling limitado sa lokal na kapaligiran, ang teknikal na pagsusuri ay nagpapakita ng ibang katotohanan. Humihiling ang extension ng malawak na pahintulot sa mga domain ng meta.com at facebook.com at palihim na nagpapadala ng sensitibong impormasyon sa imprastraktura na kontrolado ng mga umaatake.

Mga Kakayahan sa Pag-exfilt ng Lihim na Datos

Tahimik na nangongolekta at nag-e-export ang extension ng mga datos na may mataas na halaga mula sa mga napatunayang sesyon ng Meta. Ang impormasyong na-exfiltrate ay ipinapadala sa isang backend na naka-host sa getauth[.]pro, na may opsyonal na mekanismo upang ipasa ang parehong mga payload sa isang channel ng Telegram na pinapatakbo ng threat actor.

Ang buong saklaw ng functionality ng pagkolekta ng datos ng extension ay kinabibilangan ng:

  • Pagnanakaw ng mga TOTP seed at aktibong 2FA code na ginagamit para ma-secure ang mga Meta at Facebook Business account
  • Pagkuha ng datos ng 'Tao' ng Business Manager, na pinagsama-sama sa mga CSV file na naglalaman ng mga pangalan, email address, mga itinalagang tungkulin, mga antas ng pahintulot, at mga katayuan ng pag-access
  • Paglilista ng mga entity ng Business Manager at mga naka-link na asset, kabilang ang mga ad account, mga nauugnay na page, mga koneksyon ng asset, mga configuration ng pagsingil, at mga detalye ng pagbabayad

Bagama't hindi direktang nakukuha ng add-on ang mga password, maaaring pagsamahin ng mga umaatake ang mga ninakaw na time-based one-time password na may mga kredensyal na galing sa mga log ng infostealer o mga leaked database upang makakuha ng hindi awtorisadong access sa account.

Nagbabala ang mga mananaliksik sa seguridad na kahit na may maliit na base ng mga instalasyon, ang impormasyong nakalap ay sapat na upang matukoy ang mga target ng korporasyon na may mataas na halaga at mapadali ang mga kasunod na pag-atake.

Pag-scrape na Nagbabalatkayo bilang Produktibidad

Ang kaso ng CL Suite ay nagpapakita kung paano maaaring itago ng mga makitid na sakop na extension ng browser ang agresibong pagkolekta ng data bilang mga lehitimong pagpapahusay sa daloy ng trabaho. Ang mga tampok tulad ng pagkuha ng contact, pagkolekta ng analytics, pagsugpo sa pop-up ng pag-verify, at pagbuo ng 2FA sa loob ng browser ay hindi mga neutral na utility. Sa halip, gumagana ang mga ito bilang mga scraper na ginawa para sa layuning sumipsip ng mga listahan ng contact, metadata, at materyal ng pagpapatotoo nang direkta mula sa mga authenticated na Meta business interface.

Sa pamamagitan ng paglalagay ng kanilang mga sarili sa mga pinagkakatiwalaang daloy ng trabaho, nilalampasan ng mga naturang extension ang hinala ng gumagamit at gumagana sa loob ng mga hangganan ng seguridad ng mga aktibong sesyon.

Ang Kampanya ng AiFrame: Ang mga AI Assistant ay Ginawang Data Proxy

Sa isang hiwalay ngunit pinag-ugnay na kampanya na tinawag na AiFrame, natuklasan ng mga mananaliksik ang 32 extension ng browser na ibinebenta bilang mga AI-powered assistant para sa pagbubuod, chat, suporta sa pagsusulat, at produktibidad ng Gmail. Sa kabuuan, ang mga add-on na ito ay nakapag-ipon na ng mahigit 260,000 na instalasyon.

Bagama't mukhang lehitimo, ang mga extension ay umaasa sa isang remote, server-driven na arkitektura. Sa halip na lokal na iproseso ang data, nag-e-embed ang mga ito ng full-screen iframe overlays na kumokonekta sa domain na claude.tapnetic[.]pro. Ang disenyong ito ay nagbibigay-daan sa mga operator na dynamic na magpakilala ng mga bagong kakayahan nang hindi nag-iisyu ng mga update sa pamamagitan ng Chrome Web Store.

Kapag na-deploy na, ang mga extension na ito ay nagsisilbing mga pribilehiyong tagapamagitan sa pagitan ng browser at remote infrastructure. Kapag na-trigger, sinusuri ng mga ito ang aktibong tab at ginagamit ang Readability library ng Mozilla upang kunin ang nilalaman ng artikulo. Kabilang sa mga karagdagang kakayahan ang pagsisimula ng speech recognition at pagpapadala ng mga nakuhang transcript sa mga external server.

Isang subset ng mga extension ang partikular na nagta-target sa Gmail. Kapag ina-access ng mga user ang mail.google.com at in-activate ang mga feature na AI-driven reply o summarization, ang nakikitang nilalaman ng email ay direktang kinukuha mula sa document object model (DOM) at ipinapadala sa mga third-party backend system na kontrolado ng mga operator. Dahil dito, ang nilalaman ng email at contextual metadata ay maaaring ilipat sa labas ng protektadong kapaligiran ng Gmail patungo sa mga remote server nang walang malinaw na kaalaman ng user.

Malawakang Pang-aabuso sa Pagpapalawak at Pagbebenta ng Datos

Ang maling paggamit ng mga extension ng browser ay hindi limitado sa mga nakahiwalay na kampanya. Natukoy din ng mga mananaliksik ang 287 na extension ng Chrome na sama-samang na-install nang 37.4 milyong beses, humigit-kumulang 1% ng pandaigdigang base ng mga gumagamit ng Chrome, at nagpapadala ng mga history ng pag-browse sa mga data broker.

Ipinakita ng mga nakaraang imbestigasyon kung paano pinagsasama-sama at pinagkakakitaan ng mga kumpanyang tulad ng Similarweb at Alexa ang nakuhang datos mula sa pag-browse. Binibigyang-diin ng mga natuklasang ito ang lawak kung saan maaaring gumana ang pagsubaybay batay sa extension.

Pagpapalakas ng Depensa Laban sa mga Malisyosong Extension

Dahil sa tumitinding sitwasyon ng banta, dapat sundin ng mga organisasyon at indibidwal na gumagamit ang disiplinadong mga kasanayan sa pamamahala ng extension. Kabilang sa mga epektibong hakbang sa pagtatanggol ang:

  • Pag-install lamang ng mga mahahalaga at mahusay na nasuring extension mula sa mga opisyal na marketplace
  • Pagsasagawa ng mga pana-panahong pag-audit ng mga naka-install na extension upang matukoy ang labis na mga pahintulot o hindi pangkaraniwang pag-uugali
  • Paggamit ng magkakahiwalay na profile ng browser para sa mga sensitibong aktibidad
  • Pagpapatupad ng allowlisting ng extension sa loob ng mga enterprise environment upang harangan ang mga hindi awtorisado o hindi sumusunod sa mga patakaran ng add-on

Ang mga extension ng browser ay gumagana nang may mahahalagang pribilehiyo sa loob ng mga pinagkakatiwalaang sesyon. Kung walang mahigpit na pangangasiwa, maaari silang maging mabisang daluyan para sa pagkuha ng data at pagkompromiso ng kredensyal.

System Messages

The following system messages may be associated with Mga Extension ng Infostealer Chrome:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Trending

Pinaka Nanood

Naglo-load...