Mitwirkende: Dar Kahllon
Da generative KI-Tools wie ChatGPT, Claude, Gemini und Grok immer häufiger in alltägliche Arbeitsabläufe Einzug halten, nutzen Angreifer zunehmend deren Popularität aus, um bösartige Browsererweiterungen zu verbreiten.
In dieser Studie haben wir Folgendes aufgedeckt: koordinierte Kampagne von Chrome-Erweiterungen, die sich als KI-Assistenten für Zusammenfassungen, Chat, Schreiben und Gmail-Unterstützung ausgebenObwohl diese Tools auf den ersten Blick legitim erscheinen, verbergen sie eine gefährliche Architektur: Anstatt Kernfunktionen lokal zu implementieren, betten sie diese ein. Ferngesteuerte, serverseitig kontrollierte Schnittstellen Sie fungieren innerhalb von Erweiterungs-gesteuerten Oberflächen als privilegierte Proxys und gewähren der entfernten Infrastruktur Zugriff auf sensible Browserfunktionen.
Über 30 verschiedene Chrome-Erweiterungen, veröffentlicht unter verschiedenen Namen und Erweiterungs-IDs und mit Auswirkungen auf über 260,000 Benutzer, wir beobachteten die Gleiche zugrunde liegende Codebasis, Berechtigungen und Backend-Infrastruktur.
Entscheidend ist, dass ein wesentlicher Teil der Funktionalität jeder Erweiterung über extern gehostete KomponentenIhr Laufzeitverhalten wird bestimmt durch Änderungen auf externer Serverseite, anstatt durch eine Codeüberprüfung zum Zeitpunkt der Installation im Chrome Web Store.
Kampagnenstruktur und -wirkung
Die Kampagne umfasst mehrere Chrome-Erweiterungen, die unabhängig voneinander erscheinen und jeweils unterschiedliche Namen, Branding und Erweiterungs-IDs aufweisen. Tatsächlich teilen sich alle identifizierten Erweiterungen jedoch dieselbe interne Struktur, JavaScript-Logik, Berechtigungen und Backend-Infrastruktur.
Über 30 Erweiterungen, die mehr als 260,000 Nutzer betreffenDie Aktivität stellt eine einheitlicher koordinierter Vorgang anstatt separater Tools. Bemerkenswerterweise waren mehrere der Erweiterungen in dieser Kampagne Empfohlen vom Chrome Web Storewodurch ihre wahrgenommene Legitimität und Bekanntheit gesteigert wird.
Diese Technik ist allgemein bekannt als Verlängerungssprühen wird verwendet, um Sperrungen und reputationsbasierte Abwehrmaßnahmen zu umgehen. Wird eine Erweiterung entfernt, bleiben andere verfügbar oder werden schnell unter neuen Namen erneut veröffentlicht. Obwohl die Erweiterungen verschiedene KI-Assistenten imitieren (Claude, ChatGPT, Gemini, Grok und generische „KI-Gmail“-Tools), dienen sie alle als Zugangspunkte zum selben Backend-gesteuerten System.
Technische Übersicht
In diesem Bericht analysieren wir die Erweiterung AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp).
Abbildung 1. Vorgestellter Assistent „Claude“
Remote-Iframe als Kern-UI
Die Erweiterung rendert ein Vollbild-iFrame verweist auf eine entfernte Domäne (claude.tapnetic.proDieser iFrame überlagert die aktuelle Webseite und erscheint optisch als Benutzeroberfläche der Erweiterung.
Abbildung 2. IFrame-Injektion
Weil der iFrame externe Inhalte lädt:
- Der Betreiber kann Benutzeroberfläche und Logik jederzeit ändern.
- Es ist kein Update des Chrome Web Stores erforderlich.
- Neue Funktionen können stillschweigend eingeführt werden
Seiteninhaltsextraktion
Auf Anweisung des iFrames fragt die Erweiterung den aktiven Tab ab und ruft ein Skript auf, das mithilfe der Mozilla-Bibliothek „Readability“ lesbaren Artikelinhalt extrahiert. Die extrahierten Daten umfassen Titel, Textinhalte, Auszüge und Metadaten der Website.
Abbildung 3. Extraktion des Seiteninhalts
Diese Informationen werden dann an den entfernten iFrame zurückgesendet, was bedeutet, dass ein Drittanbieterserver strukturierte Darstellungen jeder Seite erhalten kann, die der Benutzer ansieht, einschließlich sensibler interner oder authentifizierter Seiten.
Spracherkennungsfähigkeit
Die Erweiterung unterstützt außerdem die nachrichtenbasierte Spracherkennung mithilfe der Web Speech API. Auf Anfrage des iFrames wird die Spracherkennung gestartet und das resultierende Transkript an die Zielseite zurückgesendet.
Auch wenn Browserberechtigungen den Missbrauch in einigen Fällen einschränken können, zeigt das Vorhandensein dieser Möglichkeit, welch weitreichenden Zugriff dem Fernsteuergerät gewährt wird.
Telemetrie-Sammlung
Das Erweiterungspaket enthält explizite Tracking-Pixel-Skripte, die Installations- und Deinstallationsereignisse an einen Analyse-Endpunkt eines Drittanbieters senden.
Diese Mechanismen werden üblicherweise mit Folgendem in Verbindung gebracht:
- Attributionsverfolgung
- Monetarisierungs-Funnels
- Aufbewahrungsanalyse
Gmail-Integrationscluster
Ein Teil der Kampagne, bestehend aus 15 Erweiterungen, zielt explizit auf Gmail ab. Obwohl sie unter verschiedenen Namen und mit unterschiedlichem Branding veröffentlicht und als Erweiterungen mit unterschiedlichen, nicht immer E-Mail-bezogenen Funktionen vermarktet werden, nutzen alle diese Erweiterungen dieselbe Gmail-Integrations-Codebasis.
Jedes enthält eine dediziertes Gmail-Inhaltsskript das läuft bei Dokumentenstart on mail.google.com, getrennt von der generischen Dieses Modul fügt erweiterungsgesteuerte UI-Elemente in Gmail ein und sorgt für deren dauerhafte Speicherung. MutationObserver und regelmäßige Umfragen.
Die Gmail-Integration Liest sichtbare E-Mail-Inhalte direkt aus dem DOM, wiederholtes Extrahieren von Nachrichtentext über .textContent aus der Konversationsansicht von Gmail.
Abbildung 4. Gmail-Inhaltslesung
Dies umfasst den Inhalt von E-Mail-Verläufen und, je nach Bundesland, auch Entwürfe oder Texte, die mit dem Verfassen des Dokuments in Verbindung stehen.
Wenn Gmail-Funktionen wie KI-gestützte Antworten oder Zusammenfassungen aufgerufen werden, wird der extrahierte E-Mail-Inhalt an die Logik der Erweiterung übergeben und an … übermittelt. Drittanbieter-Backend-Infrastruktur, die vom Erweiterungsbetreiber kontrolliert wirdInfolgedessen können E-Mail-Nachrichtentexte und zugehörige Kontextdaten außerhalb der Sicherheitsgrenzen von Gmail an externe Server gesendet werden.
C&C – Infrastruktur- und Bedrohungsanalyse
tapnetic[.]pro C&C Domänenmerkmale
Alle analysierten Erweiterungen kommunizieren mit der Infrastruktur unter dem tapnetic[.]pro Domain. Obwohl die Domain eine öffentlich zugängliche Website hostet, die auf den ersten Blick legitim erscheint, ergab unsere Analyse Folgendes:
- Die Website präsentiert generische Inhalte im Marketingstil.
- Keine Funktionen, Downloads oder Benutzeraktionen funktionieren tatsächlich.
- Es werden keine klaren Informationen zu Produkt, Dienstleistung oder Eigentumsverhältnissen bereitgestellt.
Zum Zeitpunkt der Analyse schien die Website hauptsächlich als Infrastruktur abdeckenDadurch wird der Domain Legitimität verliehen, während die eigentliche Aktivität über durch Erweiterungen kontrollierte Subdomains stattfindet.
Abbildung 5. Tapnetic.pro
Subdomain-Segmentierung
Jede Nebenstelle kommuniziert mit einem dedizierte Subdomain of tapnetic[.]pro, typischerweise thematisch an das imitierte KI-Produkt angepasst (z. B. Claude, ChatGPT, Gemini).
Abbildung 6. Tapnetic.pro-Subdomains – VirusTotal.com
Diese Konstruktion bietet dem Bediener mehrere Vorteile:
- Logische Trennung zwischen Erweiterungen
- Verringerter Explosionsradius, wenn eine einzelne Subdomäne blockiert wird
- Einfachere Rotation oder Austausch einzelner Erweiterungs-Backends
Trotz unterschiedlicher Subdomains sind Anfragestruktur, Parameter und Serververhalten während der gesamten Kampagne konsistent, was auf ein einheitliches Backend-System hindeutet.
Missbrauch des Lebenszyklus von Erweiterungen und Umgehung von Re-Uploads
Wir beobachteten außerdem aktive Umgehung der Durchsetzungsmaßnahmen des Chrome Web Store.
Eine Verlängerung der Kampagne fppbiomdkfbhgjjdmojlogeceejinadgwurde am aus dem Chrome Web Store entfernt. 6. Februar 2025.
Weniger als zwei Wochen später, identische Erweiterung wurde unter einer neuen ID und einem neuen Namen veröffentlicht:
- Neue Erweiterungs-ID: gghdfkafnhfpaooiolhncejnlgglhkhe
- Datum des Uploads: 20. Februar 2025
Die erneut hochgeladene Erweiterung ist eine vollständige Kopie des entfernten:
- Identische JavaScript-Logik
- Gleiche Berechtigungen
- Gleiche iFrame-basierte Architektur
- Gleiche tapnetic.pro-Infrastruktur
Dieses Verhalten ist konsistent mit ErweiterungsspritztaktikenDies ermöglicht es den Betreibern, die Distribution nach Ausfällen schnell wiederherzustellen und gleichzeitig die Kontrolle über das Backend beizubehalten.
Fazit
Indem Angreifer das Vertrauen ausnutzen, das Benutzer bekannten KI-Namen wie Claude, ChatGPT, Gemini und Grok entgegenbringen, sind sie in der Lage, Erweiterungen zu verbreiten, die das Sicherheitsmodell des Browsers grundlegend untergraben.
Die Verwendung von Vollbild-Remote-Iframes in Kombination mit privilegierten API-Bridges wandelt diese Erweiterungen um in universelle ZugangsvermittlerSie sind in der Lage, Daten zu sammeln, das Nutzerverhalten zu überwachen und sich im Laufe der Zeit unbemerkt weiterzuentwickeln. Obwohl sie als Produktivitätswerkzeuge dargestellt werden, ist ihre Architektur mit berechtigten Erwartungen an Datenschutz und Transparenz unvereinbar.
Da generative KI immer beliebter wird, müssen sich ihre Verteidiger auf eine Zunahme ähnlicher Kampagnen einstellen. Erweiterungen, die Kernfunktionen an entfernte, veränderliche Infrastrukturen auslagern, sollten nicht als bloße Komfortfunktionen, sondern als Bedrohung betrachtet werden. potenzielle Überwachungsplattformen.
Kompromissindikatoren (IOCs)
Erweiterungsoptionen
| ID | Name | Installiert |
| nlhpidbjmmffhoogcennioipekbiglbp |
AI-Assistent |
50,000 |
| gcfianbpjcfkafpiadmheejkokcmdkjl |
Lama |
147 |
| fppbiomdkfbhgjjdmojlogeceejinadg |
Gemini KI-Seitenleiste |
80,000 |
| djhjckkfgancelbmgcamjimgphaphjdl |
KI-Seitenleiste |
9,000 |
| llojfncgbabajmdglnkbhmiebiinohek |
ChatGPT-Seitenleiste |
10,000 |
| gghdfkafnhfpaooiolhncejnlgglhkhe |
KI-Seitenleiste |
50,000 |
| cgmmcoandmabammnhfnjcakdeejbfimn |
Grok |
261 |
| phiphcloddhmndjbdedgfbglhpkjcfffh |
Chatgruppe fragen |
396 |
| pgfibniplgcnccdnkhblpmmlfodijppg |
ChatGBT |
1,000 |
| nkgbfengofophpmonladgaldioelckbe |
Chatbot GPT |
426 |
| gcdfailafdfjbailcdcbjmeginhncjkb |
Grok Chatbot |
225 |
| ebmmjmakencgmgoijdfnbailknaaiffh |
Chatten Sie mit Zwillingen |
760 |
| baonbjckakcpgliaafcodddkoednpjgf |
XAI |
138 |
| fdlagfnfaheppaigholhoojabfaapnhb |
Google Gemini |
7,000 |
| gnaekhndaddbimfllbgmecjijbbfpabc |
Fragen Sie Zwillinge |
1,000 |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | KI-Buchstabengenerator | 129 |
| lodlcpnbppgipaimgbjgniokjcnpiiad | KI-Nachrichtengenerator | 24 |
| cmpmhhjahlioglkleiofbjodhhiejhei | AI Übersetzer | 194 |
| bilfflcophfehljhpnklmcelkoiffapb | KI für die Übersetzung | 91 |
| cicjlpmjmimeoempffghfglndokjihhn | AI-Anschreiben-Generator | 27 |
| ckneindgfbjnbbiggcmnjeofelhflhaj | KI-Bildgenerator-Chat GPT | 249 |
| dbclhjpifdfkofnmjfpheiondafpkoed | KI-Hintergrundbildgenerator | 289 |
| ecikmpoikkcelnakpgaeplcjoickgacj | KI-Bildgenerator | 813 |
| kepibgehhljlecgaeihhnmibnmikbnga | DeepSeek herunterladen | 275 |
| ckicoadchmmndbakbokhapncehanaeni | KI-E-Mail-Autor | 64 |
| fnjinbdmidgjkpmlihcginjipjaoapol | E-Mail-Generator-KI | 881 |
| gohgeedemmaohocbaccllpkabadoogpl | DeepSeek-Chat | 1,000 |
| flnecpdpbhdblkpnegekobahlijbmfok | ChatGPT-Bildgenerator | 251 |
| acaeafediijmccnjlokgcdiojiljfpbe | ChatGPT-Übersetzung | 30,000 |
| kblengdlefjpjkekanpoidgoghdngdgl | KI-GPT | 20,000 |
| idhknpoceajhnjokpnbicildeoligdgh | ChatGPT-Übersetzung | 1,000 |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT für Gmail | 1,000 |
Domains
Tapnetic[.]pro
onlineapp[.]pro
E-Mails
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
- [E-Mail geschützt]
Taktiken, Techniken und Verfahren (TTPs)
| Taktik | Technik |
| Ressourcenentwicklung | LX2.003(T1583) – Infrastruktur erwerben |
| Erster Zugriff | LX3.004 (T1189) – Drive-by-Kompromiss |
| Erster Zugriff | LX3.003 (T1199) – Vertrauensvolle Beziehung |
| Ausführung | LX4.003 – Skriptausführung |
| Verteidigungsflucht | LX7.011 (T1036) – Maskerade |
| Zugang zu Anmeldeinformationen | LX8.007(T1557) – Gegner in der Mitte |
| Kollektion | LX10.012 – Erfassung von Webkommunikationsdaten |
| Kollektion | LX10.005 – Benutzerinformationen sammeln |
| Command and Control | LX11.004 – Netzwerkverbindung herstellen |
| Command and Control | LX11.005 – Webdienstbasierte C2 |
| Exfiltration | LX12.001 – Datenexfiltration |
Empfehlungen
Sicherheitsexperten, Unternehmensverteidiger und Browserentwickler sollten folgende Maßnahmen ergreifen:
- Überprüfen Sie Erweiterungen in verwalteten Umgebungen, insbesondere solche, die außerhalb der Richtlinienkontrollen installiert wurden.
- Setzen Sie verhaltensbasierte Technologien zur Überwachung von Erweiterungen ein, um unautorisierte Netzwerkaktivitäten oder verdächtige DOM-Manipulationen zu erkennen.
- Die Überwachung und Durchsetzung von Vorschriften zur Laufzeit sollte verstärkt werden, nicht nur die Überprüfung zur Installationszeit, um Verhaltensänderungen nach der Installation zu erkennen, die durch die Backend-Infrastruktur bedingt sind.
