LayerX je identificirao preko 40 zlonamjernih proširenja preglednika koja su dio tri različite phishing kampanje.
Početno otkrivanje ove kampanje obavio je DomainTools Intelligence (DTI) tim, tko identificirao popis sumnjivih domena koje su komunicirale s ekstenzijama preglednika koje su se maskirale kao legitimne robne marke. Međutim, iako je istraživanje DTI-a pružilo popis zlonamjernih domena, nije identificirao potpuni popis pojedinačnih zlonamjernih proširenja.
Nadovezujući se na početno istraživanje DTI-a, LayerX je istražio označene URL-ove kako bi otkrio stvarne metapodatke Chromeovog proširenja. Analizom povezanih stranica proširenja, LayerX je uspio identificirati:
- ID-ovi proširenja
- Nazivi ekstenzija
- Izdavači koji stoje iza njih
- Metapodaci proširenja kao što su datum objave, posljednje ažuriranje softvera itd.
Ova istraga je otkrila 40+ zlonamjernih ekstenzija, od kojih su mnogi još uvijek dostupni u Google Chrome trgovini.
Potpuni popis proširenja nalazi se na dnu ove objave.
Ključni nalazi iz analize LayerX
Nakon detaljnije analize stranica i ponašanja ekstenzija, LayerX je otkrio nekoliko važnih obrazaca i uvida:
1. Stranice proširenja generirane umjetnom inteligencijom
Zlonamjerne stranice s ekstenzijama pokazivale su vrlo sličnu strukturu, formatiranje i jezik, što ukazuje na vjerojatnost da su automatski generirane pomoću AI alata. Ova taktika omogućila je prijetnjama da brzo prošire svoje napore na desetke lažnih alata uz minimalan ručni napor.
2. Lažno predstavljanje popularnih alata i marki
Proširenja su pažljivo izrađena kako bi oponašala poznate platforme, uključujući:
- Fortinet / FortiVPN
- DeepSeek AI
- Calendly
- Pomoćni alati za YouTube
- Kripto alati poput DeBanka
Koristeći povjerenje etabliranih imena, ovi zlonamjerni alati učinkovito su zaobilazili sumnju korisnika i izbjegavali provjeru tijekom instalacije.
3. Sofisticirano maskiranje brenda
Nisu samo pokušali maskirati se kao poznata legitimna proširenja i/ili brendovi, već su pokušali i sami sebe prikazati kao takve:
- Registrirani nazivi domena koji su izgledali slično (npr. calendlydaily[.]world i calendly-director[.com], kako bi se lažno predstavljao Calendly)
- Za sva proširenja koja su bila dio ove kampanje, domena izdavača i kontakt e-pošte nisu bili privatni Gmail račun, već neovisna domena, kako bi izgledala vjerodostojnije.
- Kontaktne adrese e-pošte slijedile su standardni format „support@domain-name“, što je opet davalo više kredibiliteta i stvaralo dojam da iza njih stoji legitimni izdavač.
Ova proširenja daju napadačima stalan pristup korisničkim sesijama, što omogućuje krađu podataka, lažno predstavljanje i potencijalni ulazak u korporativna okruženja.
Kako organizacije mogu odgovoriti
Trenutni val zlonamjernih ekstenzija ističe ključnu slijepu točku u sigurnosnom stavu mnogih organizacija: sam preglednik. Evo kako organizacije mogu poduzeti proaktivne korake za ublažavanje rizika:
1. Blokirajte zlonamjerna proširenja prema ID-u proširenja
Organizacije mogu ručno blokirati zlonamjerna proširenja putem MDM-a ili provođenja pravila preglednika. Međutim, ova je metoda često radno intenzivna i zahtijeva od sigurnosnih timova da prate ID-ove proširenja, nadziru nove prijetnje i reagiraju gotovo u stvarnom vremenu.
2. Provedite higijenu ekstenzija
Usvojite osnovne higijenske politike za proširenja preglednika:
- Blokiraj proširenja nepoznatih ili neprovjerenih izdavača
- Ograniči instalaciju mladih ekstenzija (nedavno objavljeno)
- Označi proširenja s malim brojem pregleda ili neobičnim zahtjevima za dopuštenja
- Izbjegavajte alate povezane sa sumnjivim domenama ili domenama koje lažiraju brendove
3. Blokirajte proširenja čak i ako su uklonjena iz Chrome trgovine
Iako su neka kompromitirana proširenja već uklonjena iz trgovine Google Chrome, uklanjanje iz trgovine ne uklanja aktivne instalacije iz preglednika korisnika. Stoga ih korisnici i organizacije moraju ručno ukloniti.
Kako vam LayerX može pomoći
LayerX pruža namjenski izrađenu platformu za sigurnost preglednika koja kontinuirano prati i procjenjuje proširenja u stvarnom vremenu. Nudi potpuno otkrivanje svih proširenja, automatsku klasifikaciju rizika i detaljne opcije provođenja zakona za blokiranje zlonamjernih proširenja.
Između ostalih mogućnosti, može:
- Automatski blokirajte zlonamjerna ili visokorizična proširenja
- Otkrivanje ekstenzija koje izvode sumnjive radnje poput krađe kolačića, umetanja skripti itd.
- Omogući administratorima postavljanje i provođenje pravila o proširenjima na razini cijele organizacije
- Pratite brzorastuće prijetnje putem telemetrije i obavještajnih podataka o prijetnjama
Za organizacije koje su zabrinute zbog prijetnje proširenja preglednika, LayerX nudi besplatnu reviziju proširenja preglednika. Revizija uključuje otkrivanje svih proširenja preglednika instaliranih u vašem okruženju, mapiranje koji korisnici imaju koja proširenja instalirana i preporuke za djelovanje kako bi se uklonila izloženost zlonamjernim proširenjima.
Kliknite ovdje prijaviti se za besplatnu reviziju proširenja.
Popis ID-ova zlonamjernih ekstenzija:
| ID proširenja | Naziv proširenja | Publisher |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Besplatni AI asistent | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Statistika web-lokacije | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator naziva robnih marki odjeće | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitalna imovina | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Sektor za sprječavanje pranja novca | Besplatna provjera AML-a u kriptovalutama | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Vizija kripto kitova | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgegggnkc | Calendly Daily | Besplatni softver za zakazivanje sastanaka | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Besplatni softver za zakazivanje sastanaka | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Besplatni alat za Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Twin Web | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecoppphinnplnmijkol | SQLite preglednik | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI chat | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Pretvorite PDF u JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML validator | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | Provjera CMS-a | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Kalkulator za izračun plaće po satu | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS validator | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Provjera e-pošte – provjerite adresu e-pošte jednim klikom | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Upozorenje o kripto kitovima – Podaci o transakcijama blockchainom | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Web analitika – provjera prometa web stranice i SEO-a | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Besplatni alat za špijuniranje oglasa za Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – SuperApp za Meta oglašivače | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Provjera prometa web stranice i SEO-a | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Besplatni alat za špijuniranje oglasa za Facebook | https://meta-spy[.]help |
| nejfdccopmmimphmmdfjobodgeaoihd | Besplatni VPN – Raccoon | Neograničeni VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Besplatni VPN – Orhideja | Neograničeni VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | Besplatni VPN – Soul VPN neograničeni VPN proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Nadgledanje web stranica | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI pisac | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkpcgkmaibec | AI generator oglasa | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Generator naslova | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Web Watch | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Vizija Youtubea | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Web metrike – Provjera prometa web stranice i SEO optimizacije | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Cijena Bitcoina uživo | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Skraćivač veza | https://u99[.]pro |
