Razširitve Infostealer za Chrome

Varnostni analitiki so odkrili prevarantsko razširitev za Google Chrome, zasnovano za zbiranje občutljivih podatkov iz okolja Meta Business. Razširitev CL Suite avtorja @CLMasters se predstavlja kot orodje za produktivnost za uporabnike Meta Business Suite in Facebook Business Managerja. Oglašuje se kot pripomoček za strganje poslovnih podatkov, obhod pozivov za preverjanje in ustvarjanje kod za dvofaktorsko avtentikacijo (2FA) in je bila objavljena v spletni trgovini Chrome 1. marca 2025.

Kljub trditvam v politiki zasebnosti, da skrivnosti 2FA in podatki Business Managerja ostajajo omejeni na lokalno okolje, tehnična analiza razkriva drugačno resničnost. Razširitev zahteva obsežna dovoljenja za domene meta.com in facebook.com ter prikrito prenaša občutljive podatke v infrastrukturo, ki jo nadzorujejo napadalci.

Zmogljivosti prikritega izbruha podatkov

Razširitev tiho zbira in izvaža podatke visoke vrednosti iz overjenih meta sej. Izvlečene informacije se pošljejo v zaledni sistem, ki gostuje na getauth[.]pro, z izbirnim mehanizmom za posredovanje istih koristnih podatkov v kanal Telegram, ki ga upravlja napadalec.

Celoten obseg funkcionalnosti zbiranja podatkov razširitve vključuje:

• Kraja semen TOTP in aktivnih kod 2FA, ki se uporabljajo za zavarovanje računov Meta in Facebook Business
• Pridobivanje podatkov o osebah poslovnega vodje, združenih v datoteke CSV, ki vsebujejo imena, e-poštne naslove, dodeljene vloge, ravni dovoljenj in stanja dostopa
• Naštevanje entitet Business Managerja in povezanih sredstev, vključno z oglasnimi računi, povezanimi stranmi, povezavami sredstev, konfiguracijami obračunavanja in podrobnostmi o plačilu

Čeprav dodatek ne zajema gesel neposredno, bi lahko napadalci združili ukradena enkratna gesla, ki temeljijo na času, s poverilnicami, pridobljenimi iz dnevnikov kradljivcev informacij ali razkritih podatkovnih baz, da bi pridobili nepooblaščen dostop do računa.

Varnostni raziskovalci opozarjajo, da so zbrani obveščevalni podatki tudi z relativno majhno bazo namestitev zadostni za prepoznavanje visokovrednih poslovnih tarč in omogočanje nadaljnjih napadov.

Strganje, prikrito kot produktivnost

Primer CL Suite ponazarja, kako lahko ozko omejene razširitve brskalnika prikrijejo agresivno zbiranje podatkov kot legitimne izboljšave delovnega procesa. Funkcije, kot so ekstrakcija stikov, zbiranje analitičnih podatkov, preprečevanje pojavnih oken za preverjanje in ustvarjanje 2FA v brskalniku, niso nevtralne pripomočke. Namesto tega delujejo kot namensko zgrajeni programi za strganje, zasnovani za črpanje seznamov stikov, metapodatkov in gradiva za preverjanje pristnosti neposredno iz overjenih poslovnih vmesnikov Meta.

Z vgradnjo v zaupanja vredne delovne procese se takšne razširitve izognejo sumu uporabnikov in delujejo znotraj varnostnih meja aktivnih sej.

Kampanja AiFrame: Pomočniki umetne inteligence, ki so postali podatkovni posredniki

V ločeni, a usklajeni kampanji z imenom AiFrame so raziskovalci odkrili 32 razširitev brskalnika, ki se tržijo kot pomočniki z umetno inteligenco za povzemanje, klepet, podporo pri pisanju in produktivnost v Gmailu. Skupaj so te razširitve namestili več kot 260.000 ljudi.

Čeprav se zdijo legitimne, se razširitve zanašajo na oddaljeno, strežniško vodeno arhitekturo. Namesto lokalne obdelave podatkov vgrajujejo celozaslonske prekrivne okvirje iframe, ki se povezujejo z domeno claude.tapnetic[.]pro. Ta zasnova omogoča operaterjem dinamično uvajanje novih zmogljivosti brez izdajanja posodobitev prek spletne trgovine Chrome.

Ko so te razširitve nameščene, delujejo kot privilegirani posredniki med brskalnikom in oddaljeno infrastrukturo. Ko se sprožijo, pregledajo aktivni zavihek in uporabijo Mozillino knjižnico Readability za ekstrahiranje vsebine članka. Dodatne zmogljivosti vključujejo zagon prepoznavanja govora in pošiljanje zajetih prepisov na zunanje strežnike.

Podmnožica razširitev je posebej usmerjena na Gmail. Ko uporabniki dostopajo do mail.google.com in aktivirajo funkcije odgovarjanja ali povzemanja, ki jih poganja umetna inteligenca, se vidna vsebina e-pošte neposredno izvleče iz modela objektov dokumenta (DOM) in prenese v zaledne sisteme tretjih oseb, ki jih nadzorujejo operaterji. Posledično se lahko vsebina e-pošte in kontekstualni metapodatki prenesejo izven zaščitenega okolja Gmaila na oddaljene strežnike brez jasnega zavedanja uporabnikov.

Zloraba razširitev v velikem obsegu in posredovanje podatkov

Zloraba razširitev brskalnika ni omejena na posamezne kampanje. Raziskovalci so odkrili tudi 287 razširitev za Chrome, ki so bile skupaj nameščene 37,4 milijona krat, kar predstavlja približno 1 % svetovne baze uporabnikov Chroma, in ki izkoriščajo zgodovino brskanja posrednikom podatkov.

Prejšnje raziskave so pokazale, kako podjetja, kot sta Similarweb in Alexa, zbirajo in monetizirajo zbrane podatke o brskanju. Te ugotovitve poudarjajo obseg delovanja nadzora na podlagi razširitev.

Krepitev obrambe pred zlonamernimi razširitvami

Glede na naraščajoče grožnje bi morale organizacije in posamezni uporabniki sprejeti disciplinirane prakse upravljanja razširitev. Učinkoviti obrambni ukrepi vključujejo:

• Namestitev samo bistvenih, dobro preverjenih razširitev z uradnih tržnic
• Izvajanje rednih pregledov nameščenih razširitev za odkrivanje prekomernih dovoljenj ali nenavadnega vedenja

• Uporaba ločenih profilov brskalnika za občutljive dejavnosti

• Uvedba seznama dovoljenih razširitev v poslovnih okoljih za blokiranje nepooblaščenih ali neskladnih dodatkov

Razširitve brskalnika delujejo s pomembnimi privilegiji znotraj zaupanja vrednih sej. Brez strogega nadzora lahko postanejo močan kanal za krajo podatkov in ogrožanje poverilnic.