Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Infostealer Chrome-Erweiterungen

Infostealer Chrome-Erweiterungen

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Sicherheitsanalysten haben eine bösartige Google Chrome-Erweiterung entdeckt, die sensible Daten aus Meta Business-Umgebungen abgreift. Die Erweiterung „CL Suite“ von @CLMasters gibt sich als Produktivitätstool für Nutzer der Meta Business Suite und des Facebook Business Managers aus. Sie wurde als Hilfsmittel zum Auslesen von Geschäftsdaten, zum Umgehen von Verifizierungsabfragen und zum Generieren von Zwei-Faktor-Authentifizierungscodes (2FA) beworben und am 1. März 2025 im Chrome Web Store veröffentlicht.

Trotz der Angaben in der Datenschutzerklärung, dass die Daten der Zwei-Faktor-Authentifizierung und des Business Managers auf die lokale Umgebung beschränkt bleiben, zeigt eine technische Analyse ein anderes Bild. Die Erweiterung fordert weitreichende Berechtigungen für die Domains meta.com und facebook.com an und übermittelt sensible Informationen heimlich an die vom Angreifer kontrollierte Infrastruktur.

Fähigkeiten zur verdeckten Datenexfiltration

Die Erweiterung sammelt und exportiert unbemerkt sensible Daten aus authentifizierten Meta-Sitzungen. Die exfiltrierten Informationen werden an ein Backend unter getauth[.]pro gesendet. Optional können dieselben Daten auch an einen vom Angreifer betriebenen Telegram-Kanal weitergeleitet werden.

Der vollständige Funktionsumfang der Datenerfassungsfunktionalität der Erweiterung umfasst:

  • Diebstahl von TOTP-Seeds und aktiven 2FA-Codes, die zur Sicherung von Meta- und Facebook-Business-Konten verwendet wurden
  • Extraktion der „Personen“-Daten des Business Managers, zusammengestellt in CSV-Dateien mit Namen, E-Mail-Adressen, zugewiesenen Rollen, Berechtigungsstufen und Zugriffsstatus.
  • Aufzählung der Business Manager-Entitäten und verknüpften Assets, einschließlich Werbekonten, zugehöriger Seiten, Asset-Verbindungen, Abrechnungskonfigurationen und Zahlungsdetails

Obwohl das Add-on Passwörter nicht direkt erfasst, könnten Angreifer die gestohlenen zeitbasierten Einmalpasswörter mit Anmeldeinformationen aus Infostealer-Protokollen oder durchgesickerten Datenbanken kombinieren, um unbefugten Zugriff auf Konten zu erlangen.

Sicherheitsforscher warnen davor, dass selbst bei einer relativ kleinen Installationsbasis die gesammelten Informationen ausreichen, um hochkarätige Unternehmensziele zu identifizieren und Folgeangriffe zu ermöglichen.

Datenkratzen als Produktivität getarnt

Der Fall der CL Suite verdeutlicht, wie eng gefasste Browsererweiterungen aggressives Datensammeln als legitime Workflow-Verbesserungen tarnen können. Funktionen wie Kontaktextraktion, Analysedatenerfassung, Unterdrückung von Verifizierungs-Popups und die Generierung von 2FA im Browser sind keine neutralen Hilfsprogramme. Vielmehr fungieren sie als speziell entwickelte Scraper, die Kontaktlisten, Metadaten und Authentifizierungsdaten direkt von authentifizierten Meta-Business-Schnittstellen abgreifen.

Durch die Integration in vertrauenswürdige Arbeitsabläufe umgehen solche Erweiterungen das Misstrauen der Benutzer und arbeiten innerhalb der Sicherheitsgrenzen aktiver Sitzungen.

Die AiFrame-Kampagne: KI-Assistenten als Daten-Proxys

In einer separaten, aber koordinierten Kampagne namens AiFrame entdeckten Forscher 32 Browsererweiterungen, die als KI-gestützte Assistenten für Zusammenfassungen, Chat, Schreibunterstützung und Gmail-Produktivität vermarktet wurden. Insgesamt wurden diese Add-ons über 260.000 Mal installiert.

Obwohl sie legitim erscheinen, basieren die Erweiterungen auf einer serverseitigen Architektur. Anstatt Daten lokal zu verarbeiten, betten sie Vollbild-iFrame-Overlays ein, die eine Verbindung zur Domain claude.tapnetic[.]pro herstellen. Dieses Design ermöglicht es Betreibern, neue Funktionen dynamisch einzuführen, ohne Updates über den Chrome Web Store veröffentlichen zu müssen.

Nach der Installation fungieren diese Erweiterungen als privilegierte Vermittler zwischen Browser und Remote-Infrastruktur. Bei Aktivierung analysieren sie den aktiven Tab und extrahieren mithilfe der Mozilla Readability-Bibliothek Artikelinhalte. Zu den weiteren Funktionen gehören die Spracherkennung und die Übertragung der erfassten Transkripte an externe Server.

Ein Teil der Erweiterungen zielt speziell auf Gmail ab. Wenn Nutzer mail.google.com aufrufen und KI-gestützte Antwort- oder Zusammenfassungsfunktionen aktivieren, werden sichtbare E-Mail-Inhalte direkt aus dem Document Object Model (DOM) extrahiert und an von den Betreibern kontrollierte Drittanbieter-Backend-Systeme übertragen. Dadurch können E-Mail-Inhalte und Kontextmetadaten ohne das Wissen des Nutzers aus der geschützten Gmail-Umgebung an entfernte Server übertragen werden.

Missbrauch von Internet-Erweiterungen und Datenhandel im großen Stil

Der Missbrauch von Browsererweiterungen beschränkt sich nicht auf vereinzelte Aktionen. Forscher haben zudem 287 Chrome-Erweiterungen identifiziert, die insgesamt 37,4 Millionen Mal installiert wurden – das entspricht etwa 1 % der weltweiten Chrome-Nutzerbasis – und die Browserverläufe an Datenhändler weitergeben.

Frühere Untersuchungen haben gezeigt, wie gesammelte Browserdaten von Unternehmen wie Similarweb und Alexa aggregiert und monetarisiert werden. Diese Erkenntnisse unterstreichen das Ausmaß, in dem Überwachung mittels Browsererweiterungen stattfinden kann.

Stärkung der Abwehr gegen böswillige Erweiterungen

Angesichts der zunehmenden Bedrohungslage sollten Organisationen und Einzelnutzer disziplinierte Verfahren zur Verwaltung von Browsererweiterungen anwenden. Zu den wirksamen Schutzmaßnahmen gehören:

  • Installieren Sie nur notwendige, gut bewertete Erweiterungen von offiziellen Marktplätzen.
  • Regelmäßige Überprüfung der installierten Erweiterungen, um übermäßige Berechtigungen oder anomales Verhalten zu erkennen.
  • Verwendung separater Browserprofile für sensible Aktivitäten
  • Implementierung von Erweiterungs-Whitelisting in Unternehmensumgebungen, um nicht autorisierte oder nicht konforme Add-ons zu blockieren

Browsererweiterungen verfügen innerhalb vertrauenswürdiger Sitzungen über weitreichende Berechtigungen. Ohne strenge Überwachung können sie sich zu wirksamen Einfallstoren für Datendiebstahl und den Diebstahl von Zugangsdaten entwickeln.

System Messages

The following system messages may be associated with Infostealer Chrome-Erweiterungen:

The names of the malicious extensions are:

AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)

Im Trend

Am häufigsten gesehen

Wird geladen...