عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Infostealer Chrome Extensions

Infostealer Chrome Extensions

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:

اكتشف محللو الأمن إضافةً خبيثة لمتصفح جوجل كروم، مصممة لجمع بيانات حساسة من بيئات Meta Business. تُقدّم هذه الإضافة، CL Suite من تطوير @CLMasters، نفسها كأداة إنتاجية لمستخدمي Meta Business Suite وFacebook Business Manager. وقد تم الترويج لها كأداة لجمع بيانات الأعمال، وتجاوز طلبات التحقق، وإنشاء رموز المصادقة الثنائية (2FA)، ونُشرت على متجر Chrome الإلكتروني في 1 مارس 2025.

على الرغم من ادعاءات سياسة الخصوصية بأن بيانات التحقق الثنائي وبيانات مدير الأعمال تبقى محصورة في البيئة المحلية، إلا أن التحليل التقني يكشف عن واقع مختلف. إذ يطلب هذا التطبيق صلاحيات واسعة النطاق على نطاقي meta.com وfacebook.com، وينقل معلومات حساسة سرًا إلى بنية تحتية يتحكم بها المهاجم.

قدرات تسريب البيانات السرية

يقوم هذا الملحق بجمع وتصدير بيانات قيّمة من جلسات Meta الموثقة دون علم المستخدم. تُرسل المعلومات المسربة إلى خادم خلفي مُستضاف على getauth[.]pro، مع وجود آلية اختيارية لإعادة توجيه نفس البيانات إلى قناة Telegram يديرها المهاجم.

يشمل النطاق الكامل لوظائف جمع البيانات في الإضافة ما يلي:

  • سرقة كلمات مرور TOTP ورموز التحقق الثنائي النشطة المستخدمة لتأمين حسابات Meta وFacebook Business
  • استخراج بيانات "الأشخاص" من برنامج إدارة الأعمال، وتجميعها في ملفات CSV تحتوي على الأسماء وعناوين البريد الإلكتروني والأدوار المخصصة ومستويات الصلاحيات وحالات الوصول.
  • حصر كيانات مدير الأعمال والأصول المرتبطة بها، بما في ذلك حسابات الإعلانات والصفحات المرتبطة بها وروابط الأصول وإعدادات الفوترة وتفاصيل الدفع.

على الرغم من أن الإضافة لا تلتقط كلمات المرور بشكل مباشر، إلا أنه يمكن للمهاجمين دمج كلمات المرور المسروقة التي تعتمد على الوقت مع بيانات الاعتماد التي تم الحصول عليها من سجلات سرقة المعلومات أو قواعد البيانات المسربة للوصول إلى الحسابات بشكل غير مصرح به.

يحذر باحثو الأمن من أنه حتى مع وجود قاعدة تثبيت صغيرة نسبياً، فإن المعلومات الاستخباراتية التي يتم جمعها كافية لتحديد أهداف الشركات ذات القيمة العالية وتسهيل الهجمات اللاحقة.

الكشط المتخفي في صورة إنتاجية

تُبيّن حالة CL Suite كيف يمكن لإضافات المتصفح ذات النطاق المحدود أن تُخفي عمليات جمع البيانات العدوانية تحت ستار تحسينات مشروعة لسير العمل. فميزات مثل استخراج جهات الاتصال، وجمع التحليلات، وإخفاء نوافذ التحقق المنبثقة، وإنشاء المصادقة الثنائية داخل المتصفح، ليست أدوات محايدة، بل هي في الواقع أدوات مُصممة خصيصًا لاستخراج قوائم جهات الاتصال والبيانات الوصفية وبيانات المصادقة مباشرةً من واجهات أعمال Meta المُصادق عليها.

من خلال دمج نفسها في سير العمل الموثوق به، تتجاوز هذه الإضافات شكوك المستخدم وتعمل ضمن الحدود الأمنية للجلسات النشطة.

حملة AiFrame: مساعدو الذكاء الاصطناعي يتحولون إلى وكلاء بيانات

في حملة منفصلة ولكن منسقة أُطلق عليها اسم "AiFrame"، كشف الباحثون عن 32 إضافة للمتصفح تُسوّق على أنها مساعدون مدعومون بالذكاء الاصطناعي لتلخيص النصوص، والدردشة، ودعم الكتابة، وزيادة إنتاجية Gmail. وقد بلغ عدد مرات تثبيت هذه الإضافات مجتمعةً أكثر من 260 ألف مرة.

رغم مظهرها الشرعي، تعتمد هذه الإضافات على بنية برمجية عن بُعد تعتمد على خادم. فبدلاً من معالجة البيانات محلياً، تُضمّن هذه الإضافات إطارات iframe تملأ الشاشة بالكامل وتتصل بالنطاق claude.tapnetic[.]pro. يُمكّن هذا التصميم المشغلين من إضافة إمكانيات جديدة ديناميكياً دون الحاجة إلى تحديثات عبر متجر Chrome الإلكتروني.

بمجرد تثبيتها، تعمل هذه الإضافات كوسيط ذي صلاحيات مميزة بين المتصفح والبنية التحتية البعيدة. عند تفعيلها، تفحص علامة التبويب النشطة وتستخدم مكتبة Readability من موزيلا لاستخراج محتوى المقالات. تشمل الميزات الإضافية بدء التعرف على الكلام وإرسال النصوص الملتقطة إلى خوادم خارجية.

تستهدف مجموعة فرعية من الإضافات خدمة Gmail تحديدًا. فعندما يدخل المستخدمون إلى mail.google.com ويفعّلون ميزات الرد أو التلخيص المدعومة بالذكاء الاصطناعي، يُستخرج محتوى البريد الإلكتروني المرئي مباشرةً من نموذج كائن المستند (DOM) ويُرسل إلى أنظمة خلفية تابعة لجهات خارجية يتحكم بها المشغلون. ونتيجةً لذلك، قد يُنقل محتوى البريد الإلكتروني والبيانات الوصفية السياقية إلى خوادم بعيدة خارج بيئة Gmail المحمية دون علم المستخدم.

إساءة استخدام الامتدادات واسعة النطاق ووساطة البيانات

لا يقتصر سوء استخدام إضافات المتصفح على حملات معزولة. فقد حدد الباحثون أيضاً 287 إضافة لمتصفح كروم تم تثبيتها مجتمعةً 37.4 مليون مرة، أي ما يقارب 1% من قاعدة مستخدمي كروم العالمية، وتقوم هذه الإضافات بتسريب سجلات التصفح إلى وسطاء البيانات.

أظهرت تحقيقات سابقة كيف تقوم شركات مثل Similarweb وAlexa بتجميع بيانات التصفح التي يتم جمعها واستثمارها. وتؤكد هذه النتائج على النطاق الواسع الذي يمكن أن تعمل به أنظمة المراقبة القائمة على الإضافات.

تعزيز الدفاع ضد عمليات التمديد الخبيثة

نظراً لتزايد التهديدات الأمنية، ينبغي على المؤسسات والمستخدمين الأفراد تبني ممارسات إدارة فعّالة للامتدادات. وتشمل التدابير الدفاعية الفعّالة ما يلي:

  • تثبيت الإضافات الأساسية فقط، والتي حازت على تقييمات جيدة، من المتاجر الرسمية.
  • إجراء عمليات تدقيق دورية للإضافات المثبتة للكشف عن الأذونات المفرطة أو السلوك غير الطبيعي
  • استخدام ملفات تعريف متصفح منفصلة للأنشطة الحساسة
  • تطبيق قوائم السماح بالإضافات في بيئات المؤسسات لحظر الإضافات غير المصرح بها أو غير المتوافقة.

تتمتع إضافات المتصفح بصلاحيات واسعة داخل الجلسات الموثوقة. وبدون رقابة صارمة، يمكن أن تصبح قنوات فعالة لتسريب البيانات واختراق بيانات الاعتماد.

System Messages

The following system messages may be associated with Infostealer Chrome Extensions:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
26,168
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...