Złośliwe rozszerzenie Chrome kradnie dane z Meta Business Suite i Facebook Business Manager

Badania nad cyberbezpieczeństwem ujawniły złośliwe rozszerzenie Google Chrome, które zostało stworzone w celu kradzieży danych z Meta Business Suite oraz Facebook Business Manager. Rozszerzenie, nazwane CL Suite przez @CLMasters (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), reklamowane jest jako narzędzie do zbierania danych z Meta Business Suite, usuwania powiadomień weryfikacyjnych oraz generowania kodów uwierzytelniania dwuskładnikowego (2FA). Na moment pisania tego artykułu miało ono 33 użytkowników, a jego pierwsza wersja została opublikowana w Chrome Web Store 1 marca 2025 roku.

Jednakże, add-on ten również wykrada kody TOTP dla kont Facebook i Meta, listy kontaktów Business Managera oraz dane analityczne, przekazując je do infrastruktury kontrolowanej przez przestępcę, jak zaznaczyła firma Socket.

„Rozszerzenie wymaga szerokiego dostępu do meta.com i facebook.com, a w swojej polityce prywatności twierdzi, że tajemnice 2FA oraz dane Business Managera pozostają lokalne,”

stwierdził badacz bezpieczeństwa Kirill Boychenko.

W praktyce kod przekazuje nasiona TOTP oraz aktualne jednorazowe kody bezpieczeństwa, eksporty CSV z danymi kontaktowymi w funkcji 'People’ Meta Business, a także dane analityczne Business Managera do serwisu getauth[.]pro, z możliwością przekazywania tych samych informacji do kanału Telegram kontrolowanego przez przestępcę.

Wykorzystanie przez przestępców

Skupiając się na użytkownikach Meta Business Suite i Facebook Business Manager, przestępca wykorzystał to rozszerzenie do zbierania i eksfiltracji danych bez wiedzy lub zgody użytkowników. Chociaż rozszerzenie nie posiada zdolności do kradzieży informacji związanych z hasłami, napastnik mógł wcześniej zdobyć takie informacje z innych źródeł, jak logi infostealerów lub wycieki danych, a następnie wykorzystać skradzione kody do nieuprawnionego dostępu do kont ofiar.

Pełny zakres możliwości złośliwego dodatku prezentuje się następująco:

• Kradzież nasion TOTP (unikalny, alfanumeryczny kod wykorzystywany do generowania jednorazowych haseł opartych na czasie) oraz kodów 2FA.
• Docelowanie widoku „Ludzie” w Business Managerze przez nawigację do facebook[.]com i meta[.]com oraz tworzenie plików CSV z imionami, adresami e-mail, rolami, uprawnieniami, statusami oraz szczegółami dostępu.
• Wyszukiwanie jednostek na poziomie Business Managera i ich powiązanych zasobów oraz budowanie plików CSV zawierających identyfikatory i nazwy Business Managera, powiązane konta reklamowe, strony i zasoby oraz szczegóły konfiguracji płatności.

Socket ostrzegł, że mimo niewielkiej liczby instalacji, rozszerzenie to dostarcza napastnikowi wystarczającej ilości informacji, aby zidentyfikować wartościowe cele i przeprowadzić kolejne ataki.

„CL Suite autorstwa @CLMasters pokazuje, jak wąskie rozszerzenie przeglądarki może przekształcić zbieranie danych w 'narzędzie' dla Meta Business Suite i Facebook Business Manager,”

dodał Boychenko. Jej cechy ekstrakcji kontaktów, analityki Business Managera, tłumienie okienek oraz generacja 2FA w przeglądarce nie są neutralnymi funkcjami produktywności, ale celowo zaprojektowanymi scraperami dla wysoko wartościowych powierzchni Meta, zbierającymi listy kontaktów, dane dostępu i materiały 2FA bezpośrednio z autoryzowanych stron.

Inne zagrożenia z rozszerzeń Chrome

Odkrycie to zbiegło się w czasie z raportem Koi Security, który wykazał, że około 500 000 użytkowników VKontakte miało swoje konta cicho przejęte przez rozszerzenia Chrome udające narzędzia do personalizacji VK. Duża skala kampanii, znanej jako VK Styles, wprowadza złośliwe oprogramowanie, które aktywnie manipuluje kontami, automatycznie zapisując użytkowników do grup napastników, resetując ustawienia konta co 30 dni oraz manipulując tokenami CSRF, aby omijać zabezpieczenia VK i utrzymać stałą kontrolę.

Działania te były powiązane z przestępcą operującym pod nazwą użytkownika GitHub 2vk, który wykorzystał własną sieć społecznościową VK do rozpowszechniania złośliwych ładunków i budowania bazy obserwatorów. Nazwy wymaganych rozszerzeń obejmują:

• VK Styles – Themes for vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
• VK Music – audio saver (ID: mflibpdjoodmoppignjhciadahapkoch)
• Music Downloader – VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
• vksaver – music saver vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
• VKfeed – Download Music and Video from VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)

Jednym z charakterystycznych elementów kampanii jest wykorzystanie metatagów HTML profilu VK jako narzędzia maskującego dla następnych ładunków, co pozwala na ukrycie URL-i i unikanie wykrycia. Kolejny ładunek hostowany jest w publicznym repozytorium związanym z 2vk, w którym znajduje się zainfekowany JavaScript, wstrzykiwany w każdą stronę VK odwiedzaną przez ofiarę. Repozytorium jest wciąż dostępne, a plik nazwany po prostu „C” otrzymał w sumie 17 aktualizacji od czerwca 2025 do stycznia 2026 roku.

„Każda aktualizacja pokazuje zamierzony rozwój,”

stwierdził badacz bezpieczeństwa Ariel Cohen. „To nie jest niechlujne złośliwe oprogramowanie – to utrzymywany projekt programistyczny z kontrolą wersji, testowaniem i iteracyjnymi usprawnieniami.”

VK Styles wpłynęło głównie na użytkowników mówiących po rosyjsku, będących główną demografią VK, jak również na użytkowników z Europy Wschodniej, Azji Środkowej oraz społeczności diaspory rosyjskiej na całym świecie. Kampanię oceniono jako aktywną co najmniej od 22 czerwca 2025 roku, kiedy to ustawiono początkową wersję ładunku w repozytorium.

Złośliwe rozszerzenia AI kradną dane logowania i e-maile

Wyniki badań zbiegają się również z odkryciem innej skoordynowanej kampanii nazwanej AiFrame, w której zbiór 32 dodatków przeglądarki reklamowanych jako asystenci sztucznej inteligencji (AI) do podsumowywania, czatu, pisania i wspomagania GMaila jest wykorzystywanych do kradzieży wrażliwych danych. Te rozszerzenia zostały zainstalowane przez ponad 260 000 użytkowników.

„Mimo że te narzędzia na powierzchni wyglądają na legalne, kryją w sobie niebezpieczną architekturę: zamiast implementować podstawową funkcjonalność lokalnie, wbudowują zdalne, kontrolowane przez serwer interfejsy w kontrolowane powierzchnie rozszerzenia i działają jako uprzywilejowane pośredniki, przyznając zdalnym systemom dostęp do wrażliwych funkcji przeglądarki,”

mówiła badaczka LayerX, Natalie Zargarov.

Nazwy złośliwych rozszerzeń obejmują:

• AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
• Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
• Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
• AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
• ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
• AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
• Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
• Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
• ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
• Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
• Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
• Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
• XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
• Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
• Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
• AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
• AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
• AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
• AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
• AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
• AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
• Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
• Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
• DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
• AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
• Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
• DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
• ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
• ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
• AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
• ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
• Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Po zainstalowaniu, te rozszerzenia wyświetlają nakładkę w trybie pełnoekranowym, która kieruje do zdalnej domeny („claude.tapnetic[.]pro”), pozwalając napastnikom na zdalne wprowadzanie nowych funkcji bez potrzeby aktualizacji w Chrome Web Store. Kiedy nakładka jest aktywna, dodatki przesyłają aktywną kartę przeglądarki i uruchamiają skrypt do wyodrębnienia czytelnych treści artykułów przy użyciu biblioteki Readability Mozilla. Złośliwe oprogramowanie wspiera również możliwość uruchamiania rozpoznawania mowy i eksfiltracji uzyskanego transkryptu do zdalnej strony. Ponadto, mniejsza grupa rozszerzeń zawiera funkcję, która celowo celuje w Gmail, odczytując widoczne treści e-maili bezpośrednio z obiektu dokumentu (DOM) podczas wizyty ofiary na mail.google[.]com.

„Gdy funkcje związane z Gmail, takie jak asystowane odpowiedzi AI czy podsumowania, są wywoływane, wyodrębnione treści e-mail są przekazywane do logiki rozszerzenia i przesyłane do zdalnej infrastruktury kontrolowanej przez operatora rozszerzenia,”

zaznacza LayerX. Po wszystkim, tekst wiadomości e-mail oraz powiązane dane kontekstowe mogą być przekazywane na serwery zewnętrzne, poza obszar bezpieczeństwa Gmaila.

Ekspozycja historii przeglądania przez rozszerzenia Chrome

Rozwój sytuacji ilustruje, jak rozszerzenia przeglądarki internetowej są coraz częściej nadużywane przez złoczyńców do zbierania i eksfiltracji wrażliwych informacji, przedstawiając się jako pozornie legalne narzędzia i aplikacje. Z raportu opublikowanego przez Q Continuum wynika, że zebrano ogromny zbiór 287 rozszerzeń Chrome, które przekazują historię przeglądania do brokerów danych, co odpowiada 37.4 miliona instalacji, co stanowi około 1% globalnej bazy użytkowników Chrome.

„W przeszłości pokazano, że rozszerzenia Chrome są wykorzystywane do eksfiltracji historii przeglądania użytkowników, która jest następnie zbierana przez brokerów danych, takich jak Similarweb i Alexa,”

powiedział badacz. Biorąc pod uwagę związane z tym ryzyka, zaleca się użytkownikom przyjęcie minimalizmu, instalując tylko te narzędzia, które są potrzebne oraz dobrze oceniane w oficjalnych sklepach. Rekomenduje się również okresowy audyt zainstalowanych rozszerzeń pod kątem oznak złośliwego działania lub nadmiernych żądań uprawnień. Inne metody, które użytkownicy i organizacje mogą zastosować w celu zapewnienia większego bezpieczeństwa, to użycie oddzielnych profili przeglądarki do wrażliwych zadań oraz wdrożenie białych list rozszerzeń, aby zablokować te, które są złośliwe lub niezgodne.