Розширення Infostealer для Chrome

Аналітики безпеки виявили шахрайське розширення Google Chrome, розроблене для збору конфіденційних даних із середовищ Meta Business. Розширення CL Suite від @CLMasters позиціонується як інструмент продуктивності для користувачів Meta Business Suite та Facebook Business Manager. Рекламоване як утиліта для парсингу бізнес-даних, обходу запитів на перевірку та генерації кодів двофакторної автентифікації (2FA), воно було опубліковано в інтернет-магазині Chrome 1 березня 2025 року.

Незважаючи на заяви в політиці конфіденційності про те, що секрети 2FA та дані Business Manager залишаються обмеженими локальним середовищем, технічний аналіз показує іншу реальність. Розширення запитує розширені дозволи для доменів meta.com та facebook.com і приховано передає конфіденційну інформацію до контрольованої зловмисником інфраструктури.

Можливості прихованого вилучення даних

Розширення непомітно збирає та експортує цінні дані з автентифікованих мета-сесій. Вилучена інформація надсилається на серверну частину, розміщену за адресою getauth[.]pro, з додатковим механізмом пересилання тих самих корисних навантажень до каналу Telegram, яким керує зловмисник.

Повний спектр функцій збору даних розширення включає:

• Крадіжка насіння TOTP та активних кодів 2FA, що використовуються для захисту облікових записів Meta та Facebook Business
• Вилучення даних бізнес-менеджера «Люди», зібраних у файли CSV, що містять імена, адреси електронної пошти, призначені ролі, рівні дозволів та статуси доступу
• Перелік сутностей Business Manager та пов’язаних ресурсів, включаючи рекламні облікові записи, пов’язані сторінки, підключення ресурсів, конфігурації виставлення рахунків та платіжні реквізити

Хоча доповнення не збирає паролі безпосередньо, зловмисники можуть поєднати викрадені одноразові паролі з часовими обмеженнями з обліковими даними, отриманими з журналів інформаційних крадіжок або витікаючих баз даних, щоб отримати несанкціонований доступ до облікового запису.

Дослідники з безпеки попереджають, що навіть за відносно невеликої бази інсталяцій зібраної розвідки достатньо для виявлення цінних корпоративних цілей та сприяння подальшим атакам.

Скребкування під виглядом продуктивності

Випадок CL Suite ілюструє, як вузькоспеціалізовані розширення браузера можуть маскувати агресивний збір даних під легітимні покращення робочого процесу. Такі функції, як вилучення контактів, збір аналітики, придушення спливаючих вікон для перевірки та генерація 2FA у браузері, не є нейтральними утилітами. Натомість вони функціонують як спеціально розроблені скрепери, розроблені для вилучення списків контактів, метаданих та матеріалів автентифікації безпосередньо з автентифікованих бізнес-інтерфейсів Meta.

Вбудовуючи себе в довірені робочі процеси, такі розширення обходять підозри користувачів і працюють у межах безпеки активних сеансів.

Кампанія AiFrame: помічники зі штучним інтелектом, що стали проксі-серверами даних

В окремій, але скоординованій кампанії під назвою AiFrame дослідники виявили 32 розширення браузера, які рекламуються як помічники на базі штучного інтелекту для підсумовування, чату, підтримки письма та продуктивності Gmail. Загалом ці доповнення накопичили понад 260 000 встановлень.

Хоча розширення виглядають легітимними, вони використовують віддалену, серверну архітектуру. Замість локальної обробки даних вони вбудовують повноекранні оверлеї iframe, які підключаються до домену claude.tapnetic[.]pro. Така конструкція дозволяє операторам динамічно впроваджувати нові можливості без випуску оновлень через Chrome Web Store.

Після розгортання ці розширення діють як привілейовані посередники між браузером та віддаленою інфраструктурою. Після запуску вони перевіряють активну вкладку та використовують бібліотеку Readability від Mozilla для вилучення вмісту статті. Додаткові можливості включають ініціювання розпізнавання мовлення та передачу захоплених транскриптів на зовнішні сервери.

Підмножина розширень спеціально орієнтована на Gmail. Коли користувачі отримують доступ до mail.google.com та активують функції відповіді або підсумовування на основі штучного інтелекту, видимий вміст електронної пошти витягується безпосередньо з об'єктної моделі документа (DOM) та передається до сторонніх серверних систем, контрольованих операторами. Отже, вміст електронної пошти та контекстні метадані можуть передаватися за межі захищеного середовища Gmail на віддалені сервери без чіткого відома користувача.

Масштабне зловживання розширеннями та брокерство даних

Зловживання розширеннями браузера не обмежується окремими кампаніями. Дослідники також виявили 287 розширень Chrome, які були встановлені разом 37,4 мільйона разів, що становить приблизно 1% від світової бази користувачів Chrome, і які передають історію переглядів брокерам даних.

Попередні дослідження продемонстрували, як зібрані дані перегляду агрегуються та монетизуються такими компаніями, як Similarweb та Alexa. Ці висновки підкреслюють масштаби, в яких може працювати спостереження на основі розширень.

Посилення захисту від шкідливих розширень

З огляду на ескалацію загроз, організації та окремі користувачі повинні впроваджувати дисципліновані методи управління розширеннями. Ефективні захисні заходи включають:

• Встановлення лише необхідних, добре перевірених розширень з офіційних торговельних майданчиків
• Проведення періодичних аудитів встановлених розширень для виявлення надмірних дозволів або аномальної поведінки

• Використання окремих профілів браузера для конфіденційної діяльності

• Впровадження списку дозволених розширень у корпоративних середовищах для блокування несанкціонованих або невідповідних доповнень

Розширення браузера працюють зі значними привілеями в межах довірених сесій. Без ретельного нагляду вони можуть стати потужними каналами для витоку даних та компрометації облікових даних.