Home Blog „AiFrame“ – Falešná rozšíření AI Assistant cílící na 260 000 uživatelů Chromu prostřednictvím vložených prvků iframe

„AiFrame“ – Falešná rozšíření AI Assistant cílící na 260 000 uživatelů Chromu prostřednictvím vložených prvků iframe


Přispěvatelé: Dar Kahllon

Vzhledem k tomu, že se generativní nástroje umělé inteligence, jako jsou ChatGPT, Claude, Gemini a Grok, stávají součástí každodenních pracovních postupů, útočníci stále častěji zneužívají jejich popularitu k distribuci škodlivých rozšíření prohlížečů.

V tomto výzkumu jsme odhalili Koordinovaná kampaň rozšíření Chrome, která se vydávají za asistenty umělé inteligence pro shrnutí, chat, psaní a pomoc s GmailemI když se tyto nástroje na první pohled zdají legitimní, skrývají nebezpečnou architekturu: místo lokální implementace základních funkcí vkládají... vzdálená, serverem ovládaná rozhraní uvnitř povrchů ovládaných rozšířeními a fungují jako privilegované proxy, čímž poskytují vzdálenému přístupu infrastruktuře citlivé funkce prohlížeče.

Přes 30 různých rozšíření pro Chrome, publikované pod různými názvy a ID rozšíření a ovlivňující více než 260,000 XNUMX uživatelů, pozorovali jsme stejná základní kódová základna, oprávnění a backendová infrastruktura.

Rozhodující je, že významná část funkcí každého rozšíření je poskytována prostřednictvím vzdáleně hostované komponenty, jejich chování za běhu je určeno externí změny na straně serveru, nikoli kódem kontrolovaným při instalaci v Internetovém obchodě Chrome.

Struktura a dopad kampaně

Kampaň se skládá z několika rozšíření pro Chrome, která se jeví jako nezávislá, každé s jiným názvem, brandingem a ID rozšíření. Ve skutečnosti všechna identifikovaná rozšíření sdílejí stejnou vnitřní strukturu, logiku JavaScriptu, oprávnění a backendovou infrastrukturu.

Přes 30 rozšíření s dopadem na více než 260 000 uživatelů, aktivita představuje jediná koordinovaná operace spíše než samostatné nástroje. Je pozoruhodné, že několik rozšíření v této kampani bylo Doporučeno v Internetovém obchodě Chrome, čímž se zvyšuje jejich vnímaná legitimita a publicita.

Tato technika je běžně známá jako prodlužovací postřik, používá se k obcházení blokování a obrany založené na reputaci. Po odstranění jednoho rozšíření zůstanou ostatní dostupné nebo jsou rychle znovu publikovány pod novými identitami. Ačkoli se rozšíření vydávají za různé asistenty s umělou inteligencí (Claude, ChatGPT, Gemini, Grok a generické nástroje „AI Gmail“), všechna slouží jako vstupní body do stejného backendem řízeného systému.

Technický přehled

V této zprávě budeme analyzovat rozšíření AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp).

Obrázek 1. Vybraný asistent „Claude“

Vzdálený iframe jako základní uživatelské rozhraní

Rozšíření vykresluje iframe na celou obrazovku ukazující na vzdálenou doménu (claude.tapnetic.pro). Tento prvek iframe překrývá aktuální webovou stránku a vizuálně se jeví jako rozhraní rozšíření.


Obrázek 2. Vložení IFrame

Protože iframe načítá vzdálený obsah:

  • Operátor může kdykoli změnit uživatelské rozhraní a logiku
  • Není nutná žádná aktualizace Internetového obchodu Chrome
  • Nové funkce lze zavádět tiše

Extrakce obsahu stránky

Na pokyn z prvku iframe se rozšíření dotazuje na aktivní kartu a spustí skript obsahu, který extrahuje čitelný obsah článku pomocí knihovny Readability od Mozilly. Extrahovaná data zahrnují názvy, textový obsah, výňatky a metadata webu.

Obrázek 3. Extrakce obsahu stránky

Tyto informace jsou poté odeslány zpět do vzdáleného prvku iframe, což znamená, že server třetí strany může přijímat strukturované reprezentace jakékoli stránky, kterou si uživatel prohlíží, včetně citlivých interních nebo ověřených stránek.

Možnost rozpoznávání hlasu

Rozšíření také podporuje rozpoznávání hlasu spouštěné zprávami pomocí rozhraní Web Speech API. Na požadavek z prvku iframe se spustí rozpoznávání řeči a výsledný přepis se vrátí na vzdálenou stránku.

I když oprávnění prohlížeče mohou v některých případech omezit zneužití, přítomnost této funkce demonstruje široký rozsah přístupu udělený vzdálenému ovladači.

Sbírka telemetrie

Balíček rozšíření obsahuje explicitní skripty sledovacích pixelů, které odesílají události instalace a odinstalace do analytického koncového bodu třetí strany.

Tyto mechanismy jsou obvykle spojeny s:

  • Sledování atribuce
  • Monetizační trychtýře
  • Analýza retence

Cluster integrace Gmailu

Podmnožina kampaně, která zahrnuje 15 rozšíření, se explicitně zaměřuje na Gmail. Přestože jsou publikována pod různými názvy a značkami a prodávána jako nabízející odlišné funkce, které ne vždy souvisejí s e-mailovou asistencí, všechna tato rozšíření sdílejí identickou kódovou základnu pro integraci s Gmailem.

Každý z nich obsahuje vyhrazený skript pro obsah pouze v Gmailu to běží na začátek_dokumentu on mail.google.com, odděleně od generického skript obsahu. Tento modul vkládá do Gmailu prvky uživatelského rozhraní ovládané rozšířením a udržuje jejich perzistenci pomocí Pozorovatel mutací a pravidelné hlasování.

Integrace s Gmailem čte viditelný obsah e-mailů přímo z DOMu, opakovaně extrahující text zprávy pomocí .textObsah z zobrazení konverzací v Gmailu. 


Obrázek 4. Čtení obsahu Gmailu

To zahrnuje obsah vlákna e-mailů a v závislosti na stavu také koncept nebo text související s psaním.

Když jsou vyvolány funkce související s Gmailem, jako jsou odpovědi nebo souhrny s podporou umělé inteligence, je extrahovaný obsah e-mailu předán do logiky rozšíření a odeslán do backendová infrastruktura třetí strany řízená provozovatelem rozšířeníV důsledku toho mohou být text e-mailových zpráv a související kontextová data odesílány mimo zařízení, mimo bezpečnostní hranice Gmailu, na vzdálené servery.

C&C - Infrastruktura a přiřazování hrozeb

Charakteristiky řídicí domény tapnetic[.]pro

Všechna analyzovaná rozšíření komunikují s infrastrukturou pod tapnetic[.]pro doména. Přestože doména hostuje veřejně přístupné webové stránky, které se na první pohled jeví jako legitimní, naše analýza zjistila, že:

  • Webové stránky prezentují obecný obsah marketingového stylu.
  • Žádné funkce, soubory ke stažení ani akce uživatele ve skutečnosti nefungují.
  • Nejsou poskytnuty žádné jasné informace o produktu, službě ani vlastnictví.

V době analýzy se zdálo, že lokalita fungovala primárně jako krytá infrastruktura, čímž se doméně dodává legitimita, zatímco skutečná aktivita probíhá prostřednictvím subdomén ovládaných rozšířeními.

Obrázek 5. Tapnetic.pro

Segmentace subdomén

Každá pobočka komunikuje s vyhrazená subdoména of tapnetic[.]pro, obvykle s motivem odpovídajícím zosobněnému produktu s umělou inteligencí (např. Claude, ChatGPT, Gemini).

Obrázek 6. Subdomény Tapnetic.pro – VirusTotal.com

Tato konstrukce poskytuje obsluze několik výhod:

  • Logické oddělení mezi rozšířeními
  • Snížený poloměr výbuchu, pokud je blokována jedna subdoména
  • Snadnější rotace nebo výměna jednotlivých rozšiřujících backendů

Navzdory odlišným subdoménám jsou struktura požadavků, parametry a chování serveru v celé kampani konzistentní, což naznačuje jeden backendový systém.

Zneužití životního cyklu rozšíření a obcházení opětovného nahrání

Také jsme pozorovali aktivní obcházení vynucování předpisů v Internetovém obchodě Chrome.

Jedno rozšíření v kampani, fppbiomdkfbhgjjdmojlogeceejinadg, byl odstraněn z Internetového obchodu Chrome dne Února 6, 2025.

Necelé dva týdny později, identické rozšíření byla zveřejněna pod novým ID a názvem:

  • Nové ID rozšíření: gghdfkafnhfpaooiolhncejnlgglhkhe
  • Datum nahrání: Února 20, 2025

Znovu nahrané rozšíření je plná kopie z odstraněného:

  • Identická logika JavaScriptu
  • Stejná oprávnění
  • Stejná architektura založená na iframe
  • Stejná infrastruktura tapnetic.pro

Toto chování je v souladu s taktiky postřiku prodloužení, což umožňuje operátorům rychle obnovit distribuci po zastavení provozu a zároveň si zachovat stejnou kontrolu nad servery.

Závěr

Využitím důvěry, kterou uživatelé vkládají do známých jmen umělé inteligence, jako jsou Claude, ChatGPT, Gemini a Grok, jsou útočníci schopni distribuovat rozšíření, která zásadně narušují bezpečnostní model prohlížeče.

Použití vzdálených prvků iframe na celou obrazovku v kombinaci s privilegovanými mosty API transformuje tato rozšíření do zprostředkovatelé přístupu pro všeobecné účely, schopné shromažďovat data, monitorovat chování uživatelů a v průběhu času se tiše vyvíjet. Ačkoli jsou jejich architektura koncipována jako nástroje produktivity, není slučitelná s rozumnými očekáváními soukromí a transparentnosti.

Vzhledem k tomu, že generativní umělá inteligence získává na popularitě, měli by obránci očekávat, že se budou podobné kampaně šířit. Rozšíření, která delegují základní funkce na vzdálenou, proměnlivou infrastrukturu, by neměla být považována za nástroje pro pohodlí, ale za… potenciální sledovací platformy.

Indikátory kompromisu (IOC)

Rozšíření

ID Jméno Instalace
nlhpidbjmmffhoogcennoiopekbiglbp

Asistent AI

 50,000
gcfianbpjcfkafpiadmheejkokcmdkjl

Lama

 147
fppbiomdkfbhgjjdmojlogeceejinadg

Postranní panel s umělou inteligencí Gemini

 80,000
djhjckkfgancelbmgcamjimgphaphjdl

Boční panel s umělou inteligencí

 9,000
llojfncgbabajmdglnkbhmiebiinohek

Postranní panel ChatGPT

 10,000
gghdfkafnhfpaooiolhncejnlgglhkhe

Boční panel s umělou inteligencí

 50,000
cgmmcoandmabammnhfnjcakdeejbfimn

Grok

 261
phiphcloddhmndjbdedgfbglhpkjcffh

Dotazování se na Gpt v chatu

 396
pgfibniplgcncdnkhblpmmlfodijppg

ChatGBT

 1,000
nkgbfengofophpmonladgaldioelckbe

GPT chatovacího bota

 426
gcdfailafdfjbailcdcbjmeginhncjkb

Chatbot Grok

 225
ebmmjmakencgmgoijdfnbailknaaiffh

Chat s Blíženci

 760
baonbjckakcpgliaafcodddkoednpjgf

Xai

 138
fdlagfnfaheppaigholhoojabfaapnhb

Google Gemini

 7,000
gnaekhndaddbimfllbgmecjijbbfpabc

Zeptejte se Blíženců

 1,000
hgnjolbjpjmhepcbjgeeallnamkjnfgi Generátor písmen s umělou inteligencí 129
lodlcpnbppgipaimgbjgniokjcnpiiad Generátor zpráv s umělou inteligencí 24
cmpmhhjahlioglkleiofbjodhhiejhei Překladač AI 194
bilfflcophfehljhpnklmcelkoiffapb Umělá inteligence pro překlad 91
cicjlpmjmimeoempffghfglndokjihhn Generátor krycích dopisů AI 27
ckneindgfbjnbbbiggcmnjeofelhflhaj Generátor obrázků s umělou inteligencí Chat GPT 249
dbclhjpifdfkofnmjfpheiondafpkoed Generátor tapet s umělou inteligencí 289
ecikmpoikkcelnakpgaeplcjoickgacj Generátor obrázků s umělou inteligencí 813
kepibgehhljlecgaeihhnmibnmikbnga Stažení DeepSeek 275
ckicoadchmmndbakbokhapncehanaeni AI Email Writer 64
fnjinbdmidgjkpmlihcginjipjaoapol Generátor e-mailů s umělou inteligencí 881
gohgeedemmaohocbaccllpkabadoogpl DeepSeek Chat 1,000
flnecpdpbhdblkpnegekobahlijbmfok Generátor obrázků ChatGPT 251
acaeafediijmccnjlokgcdiojiljfpbe Překlad ChatGPT 30,000
kblengdlefjpjkekanpoidgoghdngdgl AI GPT 20,000
idhknpoceajhnjokpnbicildeoligdgh Překlad ChatGPT 1,000
fpmkabpaklbhbhegegapfkenkmpipick Chat GPT pro Gmail 1,000

Domény

Tapnetic[.]pro

onlineaplikace[.]pro

E-maily

Taktiky, techniky a postupy (TTP)

Taktika Technika
Rozvoj zdrojů LX2.003(T1583) - Získání infrastruktury
Počáteční přístup LX3.004 (T1189) - Kompromis v případě průjezdu autem
Počáteční přístup LX3.003 (T1199) - Důvěryhodný vztah
Provedení LX4.003 - Spuštění skriptu
Obranný únik LX7.011 (T1036) - Maškaráda
Přístup k pověření LX8.007(T1557) - Protivník uprostřed
Sbírka LX10.012 - Sběr dat webové komunikace
Sbírka LX10.005 - Shromažďování informací o uživateli
Velení a řízení LX11.004 - Navázání síťového připojení
Velení a řízení LX11.005 - C2 založené na webových službách
Exfiltrace LX12.001 - Exfiltrace dat

Doporučení

Bezpečnostní profesionálové, obránci podniků a vývojáři prohlížečů by měli podniknout následující kroky:

  • Rozšíření auditu v rámci spravovaných prostředí, zejména ta, která jsou instalována mimo kontrolu zásad.
  • Nasaďte technologie monitorování rozšíření založené na chování k detekci neoprávněné síťové aktivity nebo podezřelé manipulace s DOM.
  • Posílit monitorování a vynucování za běhu, nejen kontrolu během instalace, aby bylo možné odhalit změny chování po instalaci způsobené backendovou infrastrukturou.