Společnost LayerX identifikovala přes 40 škodlivých rozšíření prohlížeče, která jsou součástí tří odlišných phishingových kampaní.
První odhalení této kampaně provedl DomainTools Intelligence (DTI) tým, kdo identifikoval seznam podezřelých domén které komunikovaly s rozšířeními prohlížeče maskovanými jako legitimní značky. Výzkum DTI však poskytl seznam škodlivých domén, neidentifikoval úplný seznam jednotlivých škodlivých rozšíření.
V návaznosti na počáteční výzkum DTI prozkoumal LayerX označené URL adresy, aby odhalil skutečná metadata rozšíření Chrome. Analýzou souvisejících stránek rozšíření byl LayerX schopen identifikovat:
- ID rozšíření
- Názvy rozšíření
- Vydavatelé za nimi
- Metadata rozšíření, jako je datum vydání, poslední aktualizace softwaru atd.
Toto vyšetřování odhalilo Více než 40 škodlivých rozšíření, z nichž mnohé jsou stále dostupné v Obchodě Google Chrome.
Úplný seznam rozšíření je uveden v dolní části tohoto příspěvku.
Klíčová zjištění z analýzy LayerX
Po bližší analýze stránek a chování rozšíření společnost LayerX odhalila několik důležitých vzorců a poznatků:
1. Stránky rozšíření generované umělou inteligencí
Škodlivé stránky rozšíření vykazovaly velmi podobnou strukturu, formátování a jazyk, což naznačuje pravděpodobnost jejich automatického generování pomocí nástrojů umělé inteligence. Tato taktika umožnila útočníkům rychle rozšířit své úsilí na desítky falešných nástrojů s minimálním manuálním úsilím.
2. Vydávání se za oblíbené nástroje a značky
Rozšíření byla pečlivě vytvořena tak, aby napodobovala známé platformy, včetně:
- Fortinet / FortiVPN
- DeepSeek AI
- Kalendář
- Pomocné nástroje YouTube
- Kryptoměnové nástroje jako DeBank
Díky důvěře zavedených společností se tyto škodlivé nástroje efektivně vyhnuly podezření uživatelů a vyhnuly se kontrole během instalace.
3. Sofistikované maskování značky
Nešlo jen o to, že se snažili maskovat jako známá legitimní rozšíření a/nebo značky, ale snažili se i sami vypadat podobně:
- Registrované názvy domén, které vypadaly podobně (např. calendlydaily[.]world a calendly-director[.com], aby se vydávaly za Calendly)
- U všech rozšíření, která byla součástí této kampaně, nebyla doména vydavatele a kontaktní e-mailová adresa soukromým účtem Gmail, ale nezávislou doménou, aby působila důvěryhodněji.
- Kontaktní e-mailové adresy měly standardní formát „support@domain-name“, což opět dodávalo větší důvěryhodnost a vytvářelo dojem, že za nimi stojí legitimní vydavatel.
Tato rozšíření poskytují útočníkům trvalý přístup k uživatelským relacím, což umožňuje krádež dat, zosobnění a potenciální vstup do firemního prostředí.
Jak mohou organizace reagovat
Současná vlna škodlivých rozšíření zdůrazňuje klíčové slepé místo v bezpečnostním systému mnoha organizací: samotný prohlížeč. Zde je návod, jak mohou organizace podniknout proaktivní kroky ke zmírnění rizik:
1. Blokujte škodlivá rozšíření podle ID rozšíření
Organizace mohou ručně blokovat škodlivá rozšíření pomocí MDM nebo vynucování zásad prohlížeče. Tato metoda je však často pracná a vyžaduje, aby bezpečnostní týmy sledovaly ID rozšíření, monitorovaly nové hrozby a reagovaly téměř v reálném čase.
2. Dodržujte hygienu rozšíření
Přijměte základní hygienická pravidla pro rozšíření prohlížeče:
- Blokovat rozšíření od neznámých nebo neověřených vydavatelů
- Omezení instalace mladých rozšíření (nedávno publikováno)
- Nahlásit rozšíření s nízkým počtem kontrol nebo neobvyklými žádostmi o oprávnění
- Vyhněte se nástrojům spojeným s podezřelými nebo falšujícími doménami
3. Blokujte rozšíření, i když byla odstraněna z obchodu Chrome
I když některá napadená rozšíření již byla z Obchodu Google Chrome odstraněna, odstranění z obchodu neodstraní aktivní instalace z prohlížečů uživatelů. Uživatelé a organizace je proto musí ručně odstranit.
Jak vám může LayerX pomoci
LayerX poskytuje účelovou platformu pro zabezpečení prohlížečů, která průběžně monitoruje a vyhodnocuje rozšíření v reálném čase. Nabízí úplné zjišťování všech rozšíření, automatickou klasifikaci rizik a podrobné možnosti vynucování blokování škodlivých rozšíření.
Mimo jiné schopnosti umí:
- Automaticky blokovat škodlivá nebo vysoce riziková rozšíření
- Detekovat rozšíření, která provádějí podezřelé akce, jako je krádež souborů cookie, vkládání skriptů atd.
- Umožnit administrátorům nastavovat a vynucovat zásady rozšíření v celé organizaci
- Držte krok s rychle se vyvíjejícími hrozbami díky telemetrii a informacím o hrozbách
Pro organizace, které se obávají hrozby ze strany rozšíření prohlížeče, nabízí LayerX bezplatný audit rozšíření prohlížeče. Audit zahrnuje zjištění všech rozšíření prohlížeče nainstalovaných ve vašem prostředí, mapování, kteří uživatelé mají nainstalovaná jaká rozšíření, a akční doporučení k nápravě vystavení škodlivým rozšířením.
Klikněte zde přihlásit se k doplňkovému auditu rozšíření.
Seznam ID škodlivých rozšíření:
| ID rozšíření | Název rozšíření | Vydavatel |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Bezplatný asistent s umělou inteligencí | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Statistiky stránek | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generátor značek oblečení | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitální aktiva | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Sektor AML | Bezplatná kontrola kryptoměn AML | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Vize kryptoměnových velryb | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgegggnkc | Calendly Daily | Bezplatný software pro plánování schůzek | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Bezplatný software pro plánování schůzek | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Bezplatný nástroj pro Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Dvojitý web | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecopphinnplmijkol | Prohlížeč SQLite | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | Chat s umělou inteligencí DeepSeek | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Převést PDF na JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | Validátor HTML | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | Kontrola CMS | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Kalkulačka hodinového platu | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | Validátor CSS | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Kontrola e-mailů – ověřte e-mailovou adresu jedním kliknutím | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Upozornění na kryptoměny – data o transakcích v blockchainu | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Webová analytika – Kontrola návštěvnosti webových stránek a SEO | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Bezplatný nástroj Ad Spy pro Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – SuperApp pro Meta Advertisery | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Kontrola návštěvnosti webových stránek a SEO | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Bezplatný nástroj pro odhalování reklam na Facebooku | https://meta-spy[.]help |
| nejfdccopmpimphmmdfjobodgeaoihd | Bezplatná VPN – Raccoon | Neomezená VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Bezplatná VPN – Orchidej | Neomezená VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN zdarma – Soul VPN Neomezená VPN proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Sledování webových stránek | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI Writer | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkpcgkmaibec | AI Ad Generator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Generátor titulků | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Sledování webu | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Vize Youtube | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Webové metriky – Kontrola návštěvnosti webových stránek a SEO | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Živá cena bitcoinu | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Zkracovač odkazů | https://u99[.]pro |
