Αρχική Blog «AiFrame» - Ψεύτικες επεκτάσεις βοηθού τεχνητής νοημοσύνης που στοχεύουν 260,000 χρήστες Chrome μέσω injected iframe

«AiFrame» - Ψεύτικες επεκτάσεις βοηθού τεχνητής νοημοσύνης που στοχεύουν 260,000 χρήστες Chrome μέσω injected iframe


Συντελεστές: Νταρ Κάλον

Καθώς τα εργαλεία δημιουργικής τεχνητής νοημοσύνης (Greenative AI) όπως τα ChatGPT, Claude, Gemini και Grok γίνονται μέρος των καθημερινών ροών εργασίας, οι εισβολείς εκμεταλλεύονται όλο και περισσότερο τη δημοτικότητά τους για να διανέμουν κακόβουλες επεκτάσεις προγράμματος περιήγησης.

Σε αυτήν την έρευνα, αποκαλύψαμε ένα συντονισμένη εκστρατεία επεκτάσεων Chrome που παριστάνουν τους βοηθούς τεχνητής νοημοσύνης για σύνοψη, συνομιλία, γραφή και βοήθεια στο GmailΕνώ αυτά τα εργαλεία φαίνονται νόμιμα εκ πρώτης όψεως, κρύβουν μια επικίνδυνη αρχιτεκτονική: αντί να εφαρμόζουν τοπικά τις βασικές λειτουργίες, ενσωματώνουν απομακρυσμένες διεπαφές που ελέγχονται από διακομιστή μέσα σε επιφάνειες που ελέγχονται από επεκτάσεις και λειτουργούν ως προνομιούχοι proxy, παρέχοντας απομακρυσμένη πρόσβαση στην υποδομή σε ευαίσθητες δυνατότητες του προγράμματος περιήγησης.

Απέναντι 30 διαφορετικές επεκτάσεις Chrome, δημοσιεύονται με διαφορετικά ονόματα και αναγνωριστικά επέκτασης και επηρεάζουν πάνω από 260,000 χρήστες, παρατηρήσαμε το την ίδια υποκείμενη βάση κώδικα, τα ίδια δικαιώματα και την ίδια υποδομή backend.

Κρίσιμο, επειδή ένα σημαντικό μέρος της λειτουργικότητας κάθε επέκτασης παρέχεται μέσω απομακρυσμένα φιλοξενούμενα στοιχεία, η συμπεριφορά τους κατά την εκτέλεση καθορίζεται από αλλαγές από την πλευρά του εξωτερικού διακομιστή, αντί για κώδικα που ελέγχεται κατά την εγκατάσταση στο Chrome Web Store.

Δομή και αντίκτυπος καμπάνιας

Η καμπάνια αποτελείται από πολλαπλές επεκτάσεις Chrome που φαίνονται ανεξάρτητες, καθεμία με διαφορετικά ονόματα, επωνυμία και αναγνωριστικά επέκτασης. Στην πραγματικότητα, όλες οι αναγνωρισμένες επεκτάσεις μοιράζονται την ίδια εσωτερική δομή, λογική JavaScript, δικαιώματα και υποδομή backend.

Απέναντι 30 επεκτάσεις που επηρεάζουν περισσότερους από 260,000 χρήστες, η δραστηριότητα αντιπροσωπεύει ένα ενιαία συντονισμένη επιχείρηση αντί για ξεχωριστά εργαλεία. Αξίζει να σημειωθεί ότι αρκετές από τις επεκτάσεις σε αυτήν την καμπάνια ήταν Προβεβλημένο από το Chrome Web Store, αυξάνοντας την αντιληπτή νομιμότητα και προβολή τους.

Αυτή η τεχνική είναι κοινώς γνωστή ως ψεκασμός επέκτασης, χρησιμοποιείται για την αποφυγή καταργήσεων και αμυντικών μηχανισμών που βασίζονται στη φήμη. Όταν μια επέκταση καταργείται, οι άλλες παραμένουν διαθέσιμες ή δημοσιεύονται ξανά γρήγορα με νέες ταυτότητες. Παρόλο που οι επεκτάσεις μιμούνται διαφορετικούς βοηθούς τεχνητής νοημοσύνης (Claude, ChatGPT, Gemini, Grok και γενικά εργαλεία "AI Gmail"), όλες χρησιμεύουν ως σημεία εισόδου στο ίδιο σύστημα που ελέγχεται από το backend.

Τεχνική επισκόπηση

Σε αυτήν την αναφορά θα αναλύσουμε την επέκταση AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp).

Σχήμα 1. Προτεινόμενος Βοηθός «Κλοντ»

Απομακρυσμένο Iframe ως το βασικό περιβάλλον χρήστη

Η επέκταση αποδίδει ένα iframe πλήρους οθόνης δείχνει σε έναν απομακρυσμένο τομέα (claude.tapnetic.pro). Αυτό το iframe επικαλύπτει την τρέχουσα ιστοσελίδα και εμφανίζεται οπτικά ως η διεπαφή της επέκτασης.


Σχήμα 2. Έγχυση IFrame

Επειδή το iframe φορτώνει απομακρυσμένο περιεχόμενο:

  • Ο χειριστής μπορεί να αλλάξει το περιβάλλον χρήστη και τη λογική ανά πάσα στιγμή
  • Δεν απαιτείται ενημέρωση του Chrome Web Store
  • Νέες δυνατότητες μπορούν να εισαχθούν σιωπηλά

Εξαγωγή περιεχομένου σελίδας

Όταν δοθεί εντολή από το iframe, η επέκταση ρωτά την ενεργή καρτέλα και καλεί ένα σενάριο περιεχομένου που εξάγει αναγνώσιμο περιεχόμενο άρθρου χρησιμοποιώντας τη βιβλιοθήκη αναγνωσιμότητας του Mozilla. Τα εξαγόμενα δεδομένα περιλαμβάνουν τίτλους, περιεχόμενο κειμένου, αποσπάσματα και μεταδεδομένα ιστότοπου.

Σχήμα 3. Εξαγωγή περιεχομένου σελίδας

Αυτές οι πληροφορίες αποστέλλονται στη συνέχεια πίσω στο απομακρυσμένο iframe, πράγμα που σημαίνει ότι ένας διακομιστής τρίτου μέρους μπορεί να λαμβάνει δομημένες αναπαραστάσεις οποιασδήποτε σελίδας βλέπει ο χρήστης, συμπεριλαμβανομένων ευαίσθητων εσωτερικών ή αυθεντικοποιημένων σελίδων.

Δυνατότητα αναγνώρισης φωνής

Η επέκταση υποστηρίζει επίσης την αναγνώριση φωνής που ενεργοποιείται από μηνύματα χρησιμοποιώντας το Web Speech API. Κατόπιν αιτήματος από το iframe, ξεκινά η αναγνώριση ομιλίας και η προκύπτουσα μεταγραφή επιστρέφεται στην απομακρυσμένη σελίδα.

Ενώ τα δικαιώματα του προγράμματος περιήγησης ενδέχεται να περιορίζουν την κατάχρηση σε ορισμένες περιπτώσεις, η παρουσία αυτής της δυνατότητας καταδεικνύει το ευρύ πεδίο πρόσβασης που παρέχεται στο τηλεχειριστήριο.

Συλλογή Τηλεμετρίας

Το πακέτο επέκτασης περιλαμβάνει σαφή σενάρια pixel παρακολούθησης που στέλνουν συμβάντα εγκατάστασης και απεγκατάστασης σε ένα τελικό σημείο ανάλυσης τρίτου μέρους.

Αυτοί οι μηχανισμοί συνήθως συνδέονται με:

  • Παρακολούθηση απόδοσης
  • Διοχετεύσεις δημιουργίας εσόδων
  • Ανάλυση συγκράτησης

Σύμπλεγμα ενσωμάτωσης Gmail

Ένα υποσύνολο της καμπάνιας, που αποτελείται από 15 επεκτάσεις, στοχεύει ρητά το Gmail. Παρά το γεγονός ότι δημοσιεύονται με διαφορετικά ονόματα και επωνυμίες και διατίθενται στην αγορά ως υπηρεσίες που προσφέρουν ξεχωριστές δυνατότητες που δεν σχετίζονται πάντα με την υποστήριξη μέσω email, όλες αυτές οι επεκτάσεις μοιράζονται μια πανομοιότυπη βάση κώδικα ενσωμάτωσης Gmail.

Κάθε ένα περιλαμβάνει ένα ειδικό σενάριο περιεχομένου μόνο για Gmail που τρέχει σε έναρξη_εγγράφου on mail.google.com, ξεχωριστά από το γενικό σενάριο περιεχομένου. Αυτή η ενότητα εισάγει στοιχεία UI που ελέγχονται από επεκτάσεις στο Gmail και διατηρεί τη διατήρηση χρησιμοποιώντας MutationObserver και περιοδικές δημοσκοπήσεις.

Η ενσωμάτωση του Gmail διαβάζει ορατό περιεχόμενο email απευθείας από το DOM, επανειλημμένη εξαγωγή κειμένου μηνύματος μέσω .textContent από την προβολή συνομιλίας του Gmail. 


Σχήμα 4. Ανάγνωση περιεχομένου Gmail

Αυτό περιλαμβάνει περιεχόμενο νημάτων ηλεκτρονικού ταχυδρομείου και, ανάλογα με την κατάσταση, κείμενο που σχετίζεται με το προσχέδιο ή τη σύνταξη.

Όταν ενεργοποιούνται λειτουργίες που σχετίζονται με το Gmail, όπως απαντήσεις ή περιλήψεις με τη βοήθεια τεχνητής νοημοσύνης, το εξαγόμενο περιεχόμενο email διαβιβάζεται στη λογική της επέκτασης και μεταδίδεται σε υποδομή backend τρίτου μέρους που ελέγχεται από τον διαχειριστή επέκτασηςΩς αποτέλεσμα, το κείμενο μηνυμάτων ηλεκτρονικού ταχυδρομείου και τα σχετικά δεδομένα περιβάλλοντος ενδέχεται να αποστέλλονται εκτός συσκευής, εκτός των ορίων ασφαλείας του Gmail, σε απομακρυσμένους διακομιστές.

C&C - Υποδομή και Απόδοση Απειλών

Χαρακτηριστικά τομέα C&C του tapnetic[.]pro

Όλες οι αναλυμένες επεκτάσεις επικοινωνούν με την υποδομή στο πλαίσιο του ταπνετικό[.]pro τομέα. Ενώ ο τομέας φιλοξενεί έναν δημόσια προσβάσιμο ιστότοπο που με την πρώτη ματιά φαίνεται νόμιμος, η ανάλυσή μας διαπίστωσε ότι:

  • Ο ιστότοπος παρουσιάζει γενικό περιεχόμενο μάρκετινγκ
  • Δεν υπάρχουν λειτουργίες, λήψεις ή ενέργειες χρήστη που να λειτουργούν στην πραγματικότητα
  • Δεν παρέχονται σαφείς πληροφορίες για το προϊόν, την υπηρεσία ή την ιδιοκτησία

Κατά τη στιγμή της ανάλυσης, ο ιστότοπος φαινόταν να λειτουργεί κυρίως ως κάλυψη υποδομής, προσδίδοντας νομιμότητα στον τομέα, ενώ η πραγματική δραστηριότητα λαμβάνει χώρα μέσω υποτομέων που ελέγχονται από επεκτάσεις.

Σχήμα 5. Tapnetic.pro

Τμηματοποίηση υποτομέα

Κάθε επέκταση επικοινωνεί με ένα αποκλειστικός υποτομέας of ταπνετικό[.]pro, συνήθως με θέμα που ταιριάζει με το προϊόν τεχνητής νοημοσύνης που μιμείται το όνομα (π.χ., Claude, ChatGPT, Gemini).

Σχήμα 6. Υποτομείς Tapnetic.pro - VirusTotal.com

Αυτός ο σχεδιασμός προσφέρει πολλά πλεονεκτήματα στον χειριστή:

  • Λογικός διαχωρισμός μεταξύ επεκτάσεων
  • Μειωμένη ακτίνα έκρηξης εάν αποκλειστεί ένας μόνο υποτομέας
  • Ευκολότερη εναλλαγή ή αντικατάσταση μεμονωμένων backend επεκτάσεων

Παρά τα διαφορετικά υποτομείς, η δομή αιτημάτων, οι παράμετροι και η συμπεριφορά του διακομιστή είναι συνεπείς σε όλη την καμπάνια, υποδεικνύοντας ένα ενιαίο σύστημα backend.

Κατάχρηση κύκλου ζωής επέκτασης και αποφυγή εκ νέου μεταφόρτωσης

Παρατηρήσαμε επίσης ενεργή αποφυγή της επιβολής του Chrome Web Store.

Μία επέκταση στην καμπάνια, fppbiomdkfbhgjjdmojlogeceejinadg, καταργήθηκε από το Chrome Web Store στις Φεβρουάριος 6, 2025.

Λιγότερο από δύο εβδομάδες αργότερα, ένα πανομοιότυπη επέκταση δημοσιεύτηκε με νέο αναγνωριστικό και όνομα:

  • Νέο αναγνωριστικό επέκτασης: gghdfkafnhfpaooiolhncejnlgglhkhe
  • Ημερομηνία μεταφόρτωσης: Φεβρουάριος 20, 2025

Η επέκταση που μεταφορτώθηκε ξανά είναι μια πλήρες αντίγραφο του αφαιρεθέντος:

  • Πανομοιότυπη λογική JavaScript
  • Ίδια δικαιώματα
  • Ίδια αρχιτεκτονική βασισμένη σε iframe
  • Ίδια υποδομή tapnetic.pro

Αυτή η συμπεριφορά είναι σύμφωνη με τακτικές ψεκασμού επέκτασης, επιτρέποντας στους χειριστές να αποκαθιστούν γρήγορα τη διανομή μετά από καταργήσεις, διατηρώντας παράλληλα τον ίδιο έλεγχο στο backend.

Συμπέρασμα

Αξιοποιώντας την εμπιστοσύνη που έχουν οι χρήστες σε γνωστά ονόματα τεχνητής νοημοσύνης όπως τα Claude, ChatGPT, Gemini και Grok, οι εισβολείς είναι σε θέση να διανείμουν επεκτάσεις που παραβιάζουν ριζικά το μοντέλο ασφάλειας του προγράμματος περιήγησης.

Η χρήση απομακρυσμένων iframe πλήρους οθόνης σε συνδυασμό με προνομιούχες γέφυρες API μετατρέπει αυτές τις επεκτάσεις σε μεσίτες πρόσβασης γενικής χρήσης, ικανά να συλλέγουν δεδομένα, να παρακολουθούν τη συμπεριφορά των χρηστών και να εξελίσσονται σιωπηλά με την πάροδο του χρόνου. Ενώ παρουσιάζονται ως εργαλεία παραγωγικότητας, η αρχιτεκτονική τους είναι ασύμβατη με τις εύλογες προσδοκίες περί απορρήτου και διαφάνειας.

Καθώς η παραγωγική Τεχνητή Νοημοσύνη συνεχίζει να κερδίζει δημοτικότητα, οι υπερασπιστές θα πρέπει να αναμένουν ότι παρόμοιες εκστρατείες θα πολλαπλασιαστούν. Οι επεκτάσεις που αναθέτουν βασικές λειτουργίες σε απομακρυσμένη, μεταβλητή υποδομή θα πρέπει να αντιμετωπίζονται όχι ως εργαλεία ευκολίας, αλλά ως... πιθανές πλατφόρμες επιτήρησης.

Δείκτες Συμβιβασμού (ΔΣ)

επεκτάσεις

ID Όνομα Εγκαθιστά
nlhpidbjmmffhoogcennoiopekbiglbp

Βοηθός AI

 50,000
gcfianbpjcfkafpiadmheejkokcmdkjl

Είδος μικρής καμήλας

 147
fppbiomdkfbhgjjdmojlogeceejinadg

Πλαϊνή μπάρα Gemini AI

 80,000
djhjckkfgancelbmgcamjimgphaphjdl

AI Sidebar

 9,000
είδοςfncgbabajmdglnkbhmiebiinohek

Πλαϊνή μπάρα ChatGPT

 10,000
gghdfkafnhfpaooiolhncejnlgglhkhe

AI Sidebar

 50,000
cgmmcoandmabammnhfnjcakdeejbfimn

Γκρόκ

 261
phiphcloddhmndjbdedgfbglhpkjcffh

Ρωτώντας Συνομιλία Gpt

 396
pgfibniplgcnccdnkhblpmmlfodijppg

ChatGBT

 1,000
nkgbfengofophpmonladgaldioelckbe

Bot συνομιλίας GPT

 426
gcdfailafdfjbailcdcbjmeginhncjkb

Grok Chatbot

 225
ebmmjmakencgmgoijdfnbailknaaiffh

Συνομιλία με τους Διδύμους

 760
baonbjckakcpgliaafcodddkoednpjgf

XAI

 138
fdlagfnfaheppaigholhoojabfaapnhb

Google Gemini

 7,000
γναεχννταμπίμφλλμπγκμετστζιτζμπφπαμπκ

Ρωτήστε τον Δίδυμο

 1,000
hgnjolbjpjmhepcbjgeeallnamkjnfgi Γεννήτρια γραμμάτων AI 129
lodlcpnbppgipaimgbjgniokjcnpiiad Γεννήτρια μηνυμάτων AI 24
cmpmhhjahlioglkleiofbjodhhiejhei Μεταφραστής AI 194
bilfflcophfehljhpnklmcelkoiffapb Τεχνητή Νοημοσύνη για Μετάφραση 91
cicjlpmjmimeoempffghfglndokjihhn Γεννήτρια συνοδευτικών επιστολών AI 27
ckneindgfbjnbbiggcmnjeofelhflhaj Γεννήτρια εικόνων AI Συνομιλία GPT 249
dbclhjpifdfkofnmjfpheiondafpkoed Γεννήτρια ταπετσαρίας AI 289
εκικμποϊκκσελνακπγκαεπλκτζοϊκγκάτσ Γεννήτρια εικόνας τεχνητής νοημοσύνης 813
kepibgehhljlecgaeihhnmibnmikbnga Λήψη DeepSeek 275
ckicoadchmmndbakbokhapncehanaeni AI Email Writer 64
fnjinbdmidgjkpmlihcginjipjaoapol Τεχνητή Νοημοσύνη για Γεννήτρια Ηλεκτρονικού Ταχυδρομείου 881
γκογκεντεμμαοχοκμπακλπκαμπαντοογπλ DeepSeek Chat 1,000
flnecpdpbhdblkpnegekobahlijbmfok Γεννήτρια εικόνων ChatGPT 251
acaeafediijmccnjlokgcdiojiljfpbe Μετάφραση ChatGPT 30,000
kblengdlefjpjkekanpoidgoghdngdgl AI GPT 20,000
idhknpoceajhnjokpnbicildeoligdgh Μετάφραση ChatGPT 1,000
fpmkabpaklbhbhegegapfkenkmpipick Συνομιλία GPT για Gmail 1,000

Domains

Tapnetic[.]pro

onlineapp[.]pro

Emails

Τακτικές, τεχνικές και διαδικασίες (TTP)

Τακτική Τεχνική
Ανάπτυξη πόρων LX2.003 (T1583) - Απόκτηση Υποδομών
Αρχική πρόσβαση LX3.004 (T1189) - Συμβιβασμός Drive-by
Αρχική πρόσβαση LX3.003 (T1199) - Σχέση εμπιστοσύνης
Εκτέλεση LX4.003 - Εκτέλεση σεναρίου
Αμυντική υπεκφυγή LX7.011 (T1036) - Μεταμφιέσεις
Πρόσβαση διαπιστευτηρίων LX8.007 (T1557) - Αντίπαλος-στη-μέση
Συλλογή LX10.012 - Συλλογή Δεδομένων Επικοινωνίας μέσω Διαδικτύου
Συλλογή LX10.005 - Συλλογή πληροφοριών χρήστη
Διοίκησης και Ελέγχου LX11.004 - Δημιουργία σύνδεσης δικτύου
Διοίκησης και Ελέγχου LX11.005 - C2 βασισμένο σε υπηρεσίες ιστού
εκδιήθησης LX12.001 - Εξαγωγή Δεδομένων

συστάσεις

Οι επαγγελματίες ασφαλείας, οι υπερασπιστές των επιχειρήσεων και οι προγραμματιστές προγραμμάτων περιήγησης θα πρέπει να προβούν στις ακόλουθες ενέργειες:

  • Επεκτάσεις ελέγχου εντός διαχειριζόμενων περιβαλλόντων, ειδικά εκείνες που είναι εγκατεστημένες εκτός των ελέγχων πολιτικής.
  • Αναπτύξτε τεχνολογίες παρακολούθησης επεκτάσεων που βασίζονται στη συμπεριφορά για την ανίχνευση μη εξουσιοδοτημένης δραστηριότητας δικτύου ή ύποπτου χειρισμού DOM.
  • Ενισχύστε την παρακολούθηση και την επιβολή του χρόνου εκτέλεσης (runtime monitoring and enforcement), όχι μόνο την αναθεώρηση κατά την εγκατάσταση, για την ανίχνευση αλλαγών στη συμπεριφορά μετά την εγκατάσταση που προκαλούνται από την υποδομή backend.