資訊竊取器 Chrome 擴充功能

安全分析師發現了惡意谷歌Chrome瀏覽器擴充程序，該程式旨在從Meta Business環境中竊取敏感資料。這款名為CL Suite的擴充功能由@CLMasters開發，偽裝成Meta Business Suite和Facebook Business Manager用戶的效率工具。它被宣傳為一款可以抓取業務資料、繞過驗證提示並產生雙重認證（2FA）代碼的實用工具，並於2025年3月1日上架Chrome線上應用程式商店。

儘管其隱私權政策聲稱雙因素認證金鑰和商務管理平台資料僅限於本地環境，但技術分析揭示了截然不同的現實。該擴充功能請求對 meta.com 和 facebook.com 網域的廣泛權限，並秘密地將敏感資訊傳輸到攻擊者控制的基礎設施。

隱蔽資料竊取能力

此擴充功能會靜默地從已認證的 Meta 會話中收集並匯出高價值資料。洩漏的資訊會被傳送到託管在 getauth[.]pro 上的後端伺服器，並可選擇將相同的有效載荷轉發到威脅行為者運營的 Telegram 頻道。

此擴充程式的資料擷取功能全部包括：

• 用於保護 Meta 和 Facebook 企業帳戶的 TOTP 種子和有效 2FA 代碼被盜
• 提取業務管理員中的「人員」數據，並將其編譯成包含姓名、電子郵件地址、指派的角色、權限等級和存取狀態的 CSV 檔案。
• 列出 Business Manager 實體和關聯資產，包括廣告帳戶、關聯頁面、資產連接、計費配置和付款詳情

雖然該外掛程式不會直接捕獲密碼，但攻擊者可以將竊取的基於時間的一次性密碼與從資訊竊取程式日誌或洩漏的資料庫中取得的憑證結合起來，從而獲得未經授權的帳戶存取權。

安全研究人員警告說，即使安裝基礎相對較小，收集到的情報也足以識別高價值的企業目標，並有助於後續攻擊。

偽裝成生產力的抓取

CL Suite 的案例表明，功能範圍狹窄的瀏覽器擴充功能如何將惡意資料收集偽裝成合法的流程增強功能。諸如聯絡人擷取、分析資料收集、驗證彈窗屏蔽和瀏覽器內雙重認證產生等功能並非中立的實用工具。相反，它們是專門設計的網路爬蟲，旨在直接從已認證的 Meta 業務介面竊取聯絡人清單、元資料和身份驗證資訊。

透過將自身嵌入到受信任的工作流程中，此類擴充功能可以繞過使用者的懷疑，並在活動會話的安全邊界內運行。

AiFrame 活動：人工智慧助理變身資料代理

在另一個名為 AiFrame 的聯合行動中，研究人員發現了 32 款瀏覽器擴充程序，這些程式以人工智慧助理的名義進行銷售，功能包括摘要撰寫、聊天、寫作輔助和 Gmail 效率提升。這些插件的總安裝量已超過 26 萬次。

這些擴充功能雖然看起來合法，但實際上依賴遠端伺服器驅動的架構。它們並非在本地處理數據，而是嵌入全螢幕 iframe 覆蓋層，連接到網域 claude.tapnetic[.]pro。這種設計使得營運商無需透過 Chrome 線上應用程式商店發布更新即可動態地引入新功能。

部署後，這些擴充功能充當瀏覽器和遠端基礎架構之間的特權中介。觸發後，它們會檢查目前活動標籤頁，並使用 Mozilla 的 Readability 庫提取文章內容。其他功能包括啟動語音識別並將捕獲的文本轉錄發送到外部伺服器。

部分擴充功能專門針對 Gmail。當使用者存取 mail.google.com 並啟用 AI 驅動的回應或摘要功能時，郵件中可見的內容會直接從文件物件模型 (DOM) 中提取，並傳輸到由運營商控制的第三方後端系統。因此，郵件內容和上下文元資料可能會在使用者不知情的情況下，傳輸到 Gmail 保護環境以外的遠端伺服器。

大規模擴展濫用和資料經紀

瀏覽器擴充功能的濫用並非僅限於個別案例。研究人員還發現，有 287 個 Chrome 擴充功能累積安裝量達 3740 萬次，約佔全球 Chrome 用戶總數的 1%，這些擴充功能會將用戶的瀏覽歷史記錄洩露給資料經紀商。

先前的調查已經揭示了Similarweb和Alexa等公司如何匯總和利用收集到的瀏覽資料牟利。這些發現凸顯了基於瀏覽器擴充功能的監控規模之大。

加強對惡意擴充功能的防禦

鑑於威脅情勢日益嚴峻，組織和個人使用者都應採取規範的擴展管理措施。有效的防禦措施包括：

• 僅從官方應用商店安裝必要的、評價良好的擴充程序
• 定期審核已安裝的擴充程序，以偵測權限過高或異常行為。

瀏覽器擴充功能在受信任的會話中擁有很高的權限。如果沒有嚴格的監管，它們可能成為資料外洩和憑證外洩的強大管道。