Zeci de extensii malițioase în Chrome Web Store se prezintă drept asistenți AI pentru ChatGPT, Claude, Gemini și Grok, pentru a fura conținutul email sau alte date sensibile, precum crendențiale de acces.

Operațiunea folosește cel puțin 30 de extensii publicate sub nume și identificatori distincți, și instalate de peste 300.000 de ori. Toate extensiile folosesc același cod sursă, permisiuni și infrastructură backend.

Livrarea conținutului de la atacator

Conform unei analize LayerX, o companie ce oferă soluții de protecție a browserului, extensiile utilizează iframe-uri full-screen care încarcă conținut de pe server-ul atacatorului aflat la tapnetic[.]pro.

Un iframe fullscreen este un element HTML <iframe> configurat să ocupe interfața vizibilă a paginii web cu conținut încărcat de pe servere terțe. Practic, utilizatorul va vedea conținut transmis de atacator, ce poate fi orice, de la o pagină de phishing la descărcări de malware.

Această metodă permite operatorilor să modifice interfața și funcționalitatea fără a necesita actualizări în Chrome Web Store, evitând astfel procesul de revizuire.

Funcționalitățile implementate de atacator includ:

• extragerea conținutului paginilor web folosind biblioteca Mozilla Readability, permițând accesul la titluri, text și metadate
• recunoaștere vocală prin Web Speech API, cu transmiterea transcripțiilor către serverele remote
• colectare de telemetrie prin pixel tracking pentru monitorizarea instalărilor și dezinstalărilor

Furtul mesajelor din Gmail

Un subset de 15 extensii din campanie vizează conținutul Gmail prin injectarea de scripturi dedicate care rulează la accesarea serviciului pe mail.google.com.

Modulul Gmail extrage conținutul email-urilor și transmite datele către infrastructura controlată de atacatori. Această funcționalitate operează în afara perimetrului de securitate al Gmail, permițând exfiltrarea conversațiilor, draft-urilor și a mesajelor compuse.

Toate extensiile comunică cu infrastructura tapnetic[.]pro, un domeniu care afișează un website aparent legitim dar nefuncțional, și servește ca acoperire pentru activitatea malițioasă.

Potrivit analizei LayerX, fiecare extensie utilizează un subdomeniu dedicat (claude.tapnetic.pro, chatgpt.tapnetic.pro), ceea ce oferă o separare logică, reducând astfel impactul blocării tuturor extensiilor.

Majoritatea celor 30 de extensii se află încă în Chrome Web Store sub diverse nume. LayerX spune că operatorul campaniei folosește tactici active de continuare a activității prin republicarea extensiilor sub alte nume sau coduri de identificare.

De exemplu, extensia fppbiomdkfbhgjjdmojlogeceejinadg, eliminată pe 6 februarie, a fost republicată pe 20 februarie sub identificatorul gghdfkafnhfpaooiolhncejnlgglhkhe și cu numele AI Sidebar, având cod malițios identic.

Actualmente, extensia este prezentă în Chrome Web Store și este instalată de cel puțin 70.000 de utilizatori:

O listă completă a extensiilor identificate în această campanie precum și detalii tehnice despre funcționalitatea lor se găsesc în raportul LayerX.

Printre extensiile cu un număr mare de utilizatori, și care sunt în continuare în Chrome Web Store, se află:

Recomandarea generală pentru utilizatorii obișnuți care au instalat una sau mai multe din extensiile malițioase este să le elimine de pe sistem cât mai repede. De asemenea, ar fi binevenită și schimbarea detaliilor de acces la conturile Gmail accesate.

LayerX recomandă utilizatorilor enterprise un audit complet al extensiilor de pe toate mediile gestionate, în special cele din afară incidenței politicilor de control.

Implementarea de tehnologii de monitorizare comportamentală (behavior analysis) ar putea detecta activități de rețea neautorizate și consolida monitorizarea la runtime, nu doar la momentul instalării.