Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Tiện ích mở rộng Infostealer cho Chrome

Tiện ích mở rộng Infostealer cho Chrome

Đến năm Mezo năm Phần mềm độc hại, Kẻ trộm
Dịch sang:

Các chuyên gia phân tích bảo mật đã phát hiện một tiện ích mở rộng độc hại của Google Chrome được thiết kế để thu thập dữ liệu nhạy cảm từ môi trường Meta Business. Tiện ích mở rộng này, CL Suite của @CLMasters, tự giới thiệu là một công cụ năng suất dành cho người dùng Meta Business Suite và Facebook Business Manager. Được quảng cáo là một tiện ích để thu thập dữ liệu doanh nghiệp, bỏ qua các lời nhắc xác minh và tạo mã xác thực hai yếu tố (2FA), nó đã được phát hành trên Chrome Web Store vào ngày 1 tháng 3 năm 2025.

Mặc dù chính sách bảo mật khẳng định rằng thông tin xác thực hai yếu tố (2FA) và dữ liệu Quản lý Doanh nghiệp chỉ giới hạn trong phạm vi mạng nội bộ, phân tích kỹ thuật cho thấy thực tế lại khác. Tiện ích mở rộng này yêu cầu quyền truy cập rộng rãi vào các tên miền meta.com và facebook.com và bí mật truyền tải thông tin nhạy cảm đến cơ sở hạ tầng do kẻ tấn công kiểm soát.

Khả năng đánh cắp dữ liệu bí mật

Tiện ích mở rộng này âm thầm thu thập và xuất dữ liệu có giá trị cao từ các phiên Meta đã được xác thực. Thông tin bị đánh cắp được gửi đến máy chủ phụ trợ được lưu trữ tại getauth[.]pro, với một cơ chế tùy chọn để chuyển tiếp cùng một tải trọng đó đến một kênh Telegram do tác nhân đe dọa điều hành.

Phạm vi đầy đủ của chức năng thu thập dữ liệu của tiện ích mở rộng bao gồm:

  • Đánh cắp mã TOTP và mã xác thực hai yếu tố (2FA) đang hoạt động được sử dụng để bảo mật tài khoản Meta và Facebook Business.
  • Trích xuất dữ liệu "Nhân sự" của Trình quản lý doanh nghiệp, biên soạn thành các tệp CSV chứa tên, địa chỉ email, vai trò được giao, cấp độ quyền và trạng thái truy cập.
  • Liệt kê các thực thể Quản lý Doanh nghiệp và tài sản được liên kết, bao gồm tài khoản quảng cáo, các trang liên kết, kết nối tài sản, cấu hình thanh toán và chi tiết thanh toán.

Mặc dù tiện ích bổ sung này không trực tiếp thu thập mật khẩu, nhưng kẻ tấn công có thể kết hợp các mật khẩu dùng một lần dựa trên thời gian bị đánh cắp với thông tin đăng nhập lấy từ nhật ký phần mềm đánh cắp thông tin hoặc cơ sở dữ liệu bị rò rỉ để giành quyền truy cập tài khoản trái phép.

Các nhà nghiên cứu bảo mật cảnh báo rằng ngay cả với số lượng máy chủ tương đối nhỏ, thông tin thu thập được cũng đủ để xác định các mục tiêu doanh nghiệp có giá trị cao và tạo điều kiện thuận lợi cho các cuộc tấn công tiếp theo.

Việc thu thập dữ liệu trá hình dưới danh nghĩa năng suất

Trường hợp của CL Suite minh họa cách các tiện ích mở rộng trình duyệt có phạm vi hẹp có thể ngụy trang việc thu thập dữ liệu một cách trắng trợn dưới vỏ bọc các cải tiến quy trình làm việc hợp pháp. Các tính năng như trích xuất thông tin liên hệ, thu thập dữ liệu phân tích, ngăn chặn cửa sổ bật lên xác minh và tạo xác thực hai yếu tố trong trình duyệt không phải là các tiện ích trung lập. Thay vào đó, chúng hoạt động như các công cụ thu thập dữ liệu được thiết kế để lấy cắp danh sách liên hệ, siêu dữ liệu và thông tin xác thực trực tiếp từ các giao diện doanh nghiệp Meta đã được xác thực.

Bằng cách tích hợp vào các quy trình làm việc đáng tin cậy, các tiện ích mở rộng này giúp người dùng tránh bị nghi ngờ và hoạt động trong phạm vi bảo mật của các phiên làm việc đang hoạt động.

Chiến dịch AiFrame: Trợ lý AI trở thành đại diện dữ liệu

Trong một chiến dịch riêng biệt nhưng phối hợp mang tên AiFrame, các nhà nghiên cứu đã phát hiện ra 32 tiện ích mở rộng trình duyệt được quảng cáo là trợ lý ảo hỗ trợ tóm tắt, trò chuyện, viết bài và tăng năng suất Gmail. Tổng cộng, các tiện ích bổ sung này đã có hơn 260.000 lượt cài đặt.

Mặc dù trông có vẻ hợp pháp, các tiện ích mở rộng này dựa trên kiến trúc từ xa, được điều khiển bởi máy chủ. Thay vì xử lý dữ liệu cục bộ, chúng nhúng các lớp phủ iframe toàn màn hình kết nối với miền claude.tapnetic[.]pro. Thiết kế này cho phép các nhà điều hành tự động giới thiệu các khả năng mới mà không cần phát hành bản cập nhật thông qua Chrome Web Store.

Sau khi được triển khai, các tiện ích mở rộng này hoạt động như những trung gian có quyền hạn cao giữa trình duyệt và cơ sở hạ tầng từ xa. Khi được kích hoạt, chúng sẽ kiểm tra tab đang hoạt động và sử dụng thư viện Readability của Mozilla để trích xuất nội dung bài viết. Các khả năng bổ sung bao gồm khởi tạo nhận dạng giọng nói và truyền bản ghi đã thu được đến các máy chủ bên ngoài.

Một phần nhỏ các tiện ích mở rộng này nhắm mục tiêu cụ thể vào Gmail. Khi người dùng truy cập mail.google.com và kích hoạt các tính năng trả lời hoặc tóm tắt dựa trên trí tuệ nhân tạo, nội dung email hiển thị sẽ được trích xuất trực tiếp từ mô hình đối tượng tài liệu (DOM) và truyền đến các hệ thống phụ trợ của bên thứ ba do các nhà điều hành kiểm soát. Do đó, nội dung email và siêu dữ liệu ngữ cảnh có thể được chuyển ra ngoài môi trường được bảo vệ của Gmail đến các máy chủ từ xa mà người dùng không hề hay biết.

Lạm dụng mở rộng quy mô lớn và môi giới dữ liệu

Việc lạm dụng các tiện ích mở rộng trình duyệt không chỉ giới hạn ở các chiến dịch riêng lẻ. Các nhà nghiên cứu cũng đã xác định được 287 tiện ích mở rộng của Chrome đã được cài đặt tổng cộng 37,4 triệu lần, chiếm khoảng 1% số người dùng Chrome toàn cầu, và chúng đánh cắp lịch sử duyệt web để chuyển cho các bên trung gian dữ liệu.

Các cuộc điều tra trước đây đã chứng minh cách dữ liệu duyệt web được thu thập, tổng hợp và kiếm tiền từ chúng bởi các công ty như Similarweb và Alexa. Những phát hiện này nhấn mạnh quy mô hoạt động của việc giám sát dựa trên tiện ích mở rộng.

Tăng cường khả năng phòng thủ chống lại các hành vi mở rộng độc hại

Trước tình hình các mối đe dọa ngày càng gia tăng, các tổ chức và người dùng cá nhân nên áp dụng các biện pháp quản lý tiện ích mở rộng một cách có kỷ luật. Các biện pháp phòng vệ hiệu quả bao gồm:

  • Chỉ cài đặt các tiện ích mở rộng cần thiết, được đánh giá cao từ các cửa hàng ứng dụng chính thức.
  • Tiến hành kiểm tra định kỳ các tiện ích mở rộng đã cài đặt để phát hiện các quyền hạn quá mức hoặc hành vi bất thường.
  • Sử dụng các cấu hình trình duyệt riêng biệt cho các hoạt động nhạy cảm
  • Triển khai danh sách cho phép mở rộng trong môi trường doanh nghiệp để chặn các tiện ích bổ sung trái phép hoặc không tuân thủ quy định.

Các tiện ích mở rộng trình duyệt hoạt động với quyền hạn đáng kể trong các phiên đáng tin cậy. Nếu không được giám sát chặt chẽ, chúng có thể trở thành những kênh mạnh mẽ để đánh cắp dữ liệu và xâm phạm thông tin đăng nhập.

System Messages

The following system messages may be associated with Tiện ích mở rộng Infostealer cho Chrome:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
26,168
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...