Sažetak

Naša istraga otkrila je koordiniranu kampanju u kojoj je više Chromeovih ekstenzija - isprva bezopasnih i koje su služile za nepovezane svrhe - transformirano u alate za daljinski upravljano ubrizgavanje sadržaja. Iako su se ekstenzije činile bezopasnima i nisu tražile posebne dozvole, svaka je modificirana tako da periodički preuzima konfiguracijsku datoteku s domene kojom upravlja napadač. Ova dinamička pravila omogućila su ekstenzijama da prepisuju sadržaj web stranica, ubrizgavaju vanjski HTML i manipuliraju web-lokacijama koje korisnik posjećuje bez potrebe za ažuriranjem web trgovine.

Analiza infrastrukture otkrila je da je uvedena zlonamjerna funkcionalnost ekstenzija odmah nakon prijenosa vlasništva u Chrome web-trgovini, obrazac uočen u nekoliko slučajeva. Paralelno s tim, registrirane su domene za zapovijedanje i upravljanje (C2) koje se koriste za isporuku udaljenih uputa neposredno prije objave kompromitiranih ažuriranja, što sugerira unaprijed promišljenu pripremu napadačke infrastrukture. Konvergencija identične logike ubrizgavanja, zajedničkih arhitektonskih obrazaca, sinkroniziranih registracija domena i promjena koda nakon akvizicije ukazuje na to da su ta proširenja bila kompromitirana i operacionalizirana kao dio koordinirana kampanja potkrijepljena infrastrukturom a ne izolirane incidente.

Tehnička analiza

Iako je svako proširenje predstavljalo drugačiju benignu značajku, interni kod implementirao je ista visokorizična ponašanja. U svim analiziranim proširenjima, ponavljajući skriveni mehanizam omogućio je daljinsku, dinamičku manipulaciju web stranicama. U nastavku ćemo se usredotočiti na zlonamjerno ponašanje koje je postojano u svim uočenim proširenjima:

  1. Dohvaćanje udaljene konfiguracije

Svako proširenje je kontaktiralo vanjski poslužitelj svakih 5 minuta kako bi preuzelo novu konfiguracijsku datoteku (config.php ili theme.php).

Ova datoteka je sadržavala instrukcije koje kontroliraju:

  • Koje web stranice ciljati
  • Koje DOM elemente treba modificirati
  • Koji udaljeni korisni sadržaj ubrizgati

Slika 1. Regex koji odgovara 'location.href'

Budući da ove konfiguracije dolaze s domena kojima upravljaju napadači, ponašanje proširenja može se trenutno promijeniti, bez ikakvog ažuriranja putem Chrome web-trgovine.

Ovaj dizajn učinkovito stvara kanal za zapovijedanje i upravljanje unutar preglednika.

  1. Dinamičko DOM ubrizgavanje

Preuzeta konfiguracija definirala je pravila kao što su:

  • uzorak – regularni izraz za usklađivanje ciljanih web stranica
  • selektor – elementi u DOM-u koje treba prebrisati
  • uRL – udaljena krajnja točka koja pruža ubrizgani HTML/tekst
  • attr – DOM svojstvo koje treba zamijeniti (npr. innerHTML, src, href)

Slika 2. Zamjena DOM objekta

Proširenja su koristila ova pravila za dohvaćanje sadržaja kojim upravljaju napadači i njegovo izravno ubrizgavanje na web stranice:

To omogućuje udaljenim poslužiteljima:

  • Zamijenite obrasce za prijavu
  • Umetnite prekrivač za krađu identiteta
  • Izmijenite financijske ili stranice za kupovinu
  • Ubacivanje oglasa ili tracking beacona
  • Promijenite sadržaj na društvenim mrežama

Svi bez upozorenja, dopuštenja ili vidljivosti korisnika.

  1. Trajna manipulacija putem MutationObserversa

Kako bi se osiguralo da web stranica ne može poništiti izmjene, ekstenzija koristi MutationObserver. 

Ovo kontinuirano ponovno primjenjuje ubrizgani sadržaj svaki put kada se stranica ažurira, osiguravajući trajnu i prikrivenu manipulaciju.

Proširenja dijele zajedničku arhitekturu osmišljenu kako bi omogućila udaljenim poslužiteljima prepisati bilo koju web stranicu koju korisnik posjeti, tiho i opetovano. Ovo predstavlja vrlo fleksibilan i opasan okvir za manipulaciju preglednikom, maskiran kao bezopasni uslužni programi.

Analiza infrastrukture

Naša istraga otkrila je koordinirani ekosustav prijenosa vlasništva nad ekstenzijama, brzo osigurane domene za upravljanje i kontrolu (C2) i sinkronizirana zlonamjerna ažuriranja, što su snažni pokazatelji da su te ekstenzije kompromitirane i operacionalizirane kao dio strukturirane kampanje, a ne kao izolirani događaji.

  1. Prijenos vlasništva nad proširenjem i naoružanje nakon akvizicije

Povijesni metapodaci iz Chrome web-trgovine pokazuju dosljedan obrazac: proširenja su se ponašala dobroćudno sve do nedugo nakon promjene vlasništva. U više uzoraka uočili smo:

  • Izmjena navedenog vlasnika ili razvojnog programera proširenja neposredno prije zlonamjernog ažuriranja.
  • Nema dokaza o logici udaljene konfiguracije u ranijim verzijama.
  • Iznenadno umetanje:
    • Periodično dohvaćanje udaljenih konfiguracijskih datoteka
    • Skupovi pravila za prepisivanje DOM-a
    • Beacon pozivi za install.php
    • Kod podrške koji omogućuje trajnu manipulaciju sadržajem

Recenzije korisnika potvrđuju ovaj vremenski okvir, primjećujući neočekivano ponašanje odmah nakon ovih ažuriranja.

To je u skladu s poznatom strategijom u kampanjama zlouporabe ekstenzija: Akteri prijetnji kupuju proširenja s visokim stupnjem instalacije i nadograđuju ih modularnim zlonamjernim okvirom.

  1.  Vremenska povezanost između registracije C2 domene i zlonamjernih ažuriranja

Analiza WHOIS zapisa za infrastrukturu koju koriste ekstenzije otkriva upečatljivu vremensku korelaciju.

Ključna zapažanja:

  • Domene su registrirane dana do tjedana prije nego što su objavljene zlonamjerne verzije ekstenzija.
  • Zlonamjerna ažuriranja počela su slati upite tim domenama gotovo odmah nakon što su se povezala s internetom.
  • Domene dijele slične konvencije imenovanja i karakteristike infrastrukture, što sugerira centralizirano pružanje usluga.

Ovaj obrazac je u skladu s time da protivnici pripremaju operativnu infrastrukturu neposredno prije aktiviranja kompromitiranih proširenja.

  1. Čiste vs. zlonamjerne verzije

Usporedbe koda između ranijih i kasnijih verzija ističu jasnu prekretnicu:

Predkompromisne (benigne) verzije

  • Sadržavao je samo oglašene funkcionalnosti (npr. uređivanje slika, detekciju videa, izdvajanje DOI-a).
  • Nema vanjskih resursa za konfiguraciju.
  • Nema ubrizgavanja dinamičkog sadržaja.
  • Nema trajnih mehanizama praćenja (npr. MutationObservers).
  • Nema API-ja za ispravljanje pogrešaka ili otiska prsta.

Post-kompromisne (zlonamjerne) verzije

  • Dodana je petlja za preuzimanje udaljene konfiguracije (obično 5-minutno ispitivanje).
  • Uvedena je manipulacija DOM-om vođena instrukcijama korištenjem pravila usklađenih s regularnim izrazima.
  • Ugrađen je mehanizam za ubrizgavanje koji se može ponovno koristiti i prepisivati ​​proizvoljni sadržaj stranice.
  • Integrirani instalacijski beaconi za telemetriju natrag do domena koje kontroliraju napadači.

Slika 3. kbaofbaehfbehifbkhplkifihabcicoi prije i poslije

Razlika snažno podupire hipotezu o namjernom naoružanju nakon akvizicije.

  1. Pokazatelji zajedničkog skupa alata ili jedinstvenog aktera prijetnje

Usporedba unakrsnog širenja otkrila je visok stupanj strukturne sličnosti:

  • Identični intervali ispitivanja (300 sekundi).
  • Gotovo identična logika za parsiranje pravila udaljene konfiguracije.
  • Dosljedno imenovanje polja kao što su pathMatch, selector, applyMethod, resourceLink.
  • Ponavljajuće udaljene krajnje točke (config.php, theme.php, install.php).
  • Slični obrasci suzbijanja pogrešaka i tihi neuspjeli pozivi funkcije fetch().
  • Podudarni obrasci u načinu na koji ubrizgani sadržaj zamjenjuje DOM atribute.
ID proširenja Promjena vlasnika Registracija domene Zlonamjerna verzija poslana
kbaofbaehfbehifbkhplkifihabcicoi 2025-07-19 2025-07-27 2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif 2025-07-23 2025-08-20 2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh 2025-07-19 2025-08-20 2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj 2025-04-14 2025-08-22 2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm 2025-07-19 2025-08-13 2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf 2025-09-21 2025-09-23 2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf 2024-09-25 2024-09-30 2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb 2024-12-13 2025-02-03 2025-02-07

Konvergencija više neovisno brendiranih ekstenzija sugerira jednog programera zlonamjernog okvira ili kriminalnu uslugu koja nudi komplet alata za ekstenzije i oružje po ključu.

Odnosi infrastrukture, vremenskih rokova i kodne baze zajedno ukazuju na koordiniranu operaciju, a ne na oportunističku ili nepovezanu zlouporabu.

Kampanja za prosinac 2025.

LayerX Security kontinuirano prati slučajeve u kojima se prethodno benigna proširenja preglednika razvijaju u zlonamjerna. U prosincu smo identificirali nekoliko dodatnih proširenja koje su objavili isti autori, a koja su se ponašala zlonamjerno, otkrivajući novu kampanju usmjerenu na pretvaranje benignih proširenja u agresivni adware.

Proširenja se isprva čine bezopasnima, implementirajući jednostavnu funkcionalnost. Međutim, uz ovu deklariranu funkcionalnost, kod također dohvaća udaljenu konfiguraciju s vanjskog poslužitelja. Ova konfiguracija sadrži popis domena na koje proširenje ubacuje obmanjujuće obavijesti, a svaka ugrađuje URL koji unapređuje lanac zaraze.

Slika 4. Preuzeta konfiguracijska datoteka.

Kada korisnik posjeti jednu od tih domena, odmah se prikazuje zlonamjerna obavijest koja potiče korak "ljudske provjere".

Slika 5. Lažna obavijest.

Gumb za provjeru preusmjerava žrtvu na uzastopne stranice „nije robot“ koje prikazuju samo statične slike, dok u pozadini skripta registrira servisnog radnika, otiske prstiju korisnikovog uređaja, preglednika i operativnog sustava te prenosi te informacije na pushtorm.net. Korisnik se zatim pita za odobrenje dopuštenja za obavijesti.

Slika 6. Zahtjev za dopuštenje.

Nakon što je odobreno, proširenje opetovano isporučuje nametljive oglase putem istog mehanizma preusmjeravanja i zlouporabe obavijesti, učinkovito izlažući korisnika upornom i agresivnom ponašanju adwarea.

Zaključak

Naša analiza otkriva da ta proširenja nisu bila izolirani slučajevi zlonamjernog ponašanja, već komponente koordiniranog i promjenjivog distribucijskog okvira. Iako je svako proširenje predstavljalo drugačiju benignu značajku, dijelili su zajednički daljinski upravljani mehanizam za ubrizgavanje, identičnu logiku konfiguracije i dosljedan 5-minutni ciklus ispitivanja.

Analiza infrastrukture nadalje pokazuje da je većina proširenja bila naoružano tek nakon prijenosa vlasništva, a domene za zapovijedanje i kontrolu kojima je upravljao napadač bile su registriran neposredno prije zlonamjernih ažuriranjaOva uska povezanost snažno ukazuje na namjernu, organiziranu kampanju koja stječe legitimna proširenja i nadopunjuje ih modularnim alatima za ubrizgavanje sadržaja.

Zajedno, ovi nalazi pokazuju jasan obrazac: skalabilan, centralno upravljan sustav dizajniran za manipuliranje web stranicama, implementaciju proizvoljnih korisnih sadržaja i brz razvoj bez potrebe za novim ažuriranjima web trgovine. To ističe značajnu slijepu točku u trenutnim modelima pregleda proširenja i naglašava potrebu za jačim otkrivanjem ponašanja udaljene konfiguracije i zlouporabe proširenja nakon akvizicije.

MOK-ovi

ID-ovi ekstenzija – Trenutno aktivna ekstenzije

ID Ime Instalira
kbaofbaehfbehifbkhplkifihabcicoi Uređivač PhotoExpressa 5,000
ijhbioflmfpgfmgapjnojopobfncdeif Proširenje Canva za Chrome | Uređivač dizajna, umjetnosti i umjetne inteligencije 1,000
nimnhhcainjoacphlmhbkodofenjgobh Čuvar internetske arhive 2,000
jleonlfcaijhkgejhhjfjinedgficgaj CapCut Video Editor & Downloader 6,000
pgfjnclkpdmocilijgalomiaokgjejdm SnapConnect za Chrome 2,000
jnkmepoonohhfijlbajdphhinhkoefjn Dodatak za HP uslugu ispisa

 

 1,000
gmmhcbmmnclgmmjimiiefhiagmpamdlb Uredite bilo što – Poboljšajte bilo koju stranicu 780
ooobfpifjkgeopllkalfgkbiefhooggl Blooket Hacker Pro

 

 2,000
cehifnkfcddaeppdajpfldbpommggaca Kahoot haker

 

 1,000
eggegjdejilddmnlglakcaigefefcdaf InteraktivniFiksi

 

 350

ID-ovi ekstenzija – Uklonjeno iz ekstenzija trgovine

ID Ime Instalira
eekibodjacokkihmicbjgdpdfhkjemlf InteraktivniFiksi 3,000
ggjlkinaanncojaippgbndimlhcdlohf PaperPanda — Nabavite milijune istraživačkih radova 100,000
ncbknoohfjmcfneopnfkapmkblaenokb Vytal – Parodija vremenske zone, geolokacije, lokacije i sigurnosti 40,000

Domene i e-poruke za podršku

TTP-ovi

taktiku Tehnika
Razvoj resursa LX2.001(T1588) – Stjecanje sposobnosti
Pristup vjerodajnicama LX8.008 – Neovlašteno korištenje mreže
otkriće LX9.003 (T1082) – Otkrivanje informacija o sustavu
Zapovijedanje i nadzor LX11.004 – Uspostavljanje mrežne veze
Utjecaj LX13.004.1 (T1565) – Manipulacija podacima: Manipulacija sadržajem

Sanacija i ublažavanje

Za korisnike

  • Uklonite ekstenzije koje učitavaju udaljene konfiguracijske datoteke – sve što dohvaća config.php ili theme.php s nepoznatih poslužitelja predstavlja rizik.

  • Izbjegavajte ekstenzije koje mijenjaju web sadržaj bez jasnog opravdanja – prepisivanje DOM-a + udaljeni sadržaj = visok rizik.

  • Dajte prednost poznatim i renomiranim programerima – izbjegavajte „nova“, „nepoznata“ ili proširenja s niskim recenzijama.

  • Aktivnost proširenja za recenzije pomoću ugrađenih alata za proširenja u Chromeu – potražite neočekivane mrežne veze.

Za sigurnosne timove

  • Otkrivanje uobičajenih artefakata – Označavanje proširenja koja:

    • Dohvati konfiguracije za udaljeno ubrizgavanje
    • Koristite upite s vremenskim oznakama za zaobilaženje predmemorije
    • Definiranje pravila ubrizgavanja pomoću selektora i obrazaca
    • Agresivno koristite MutationObservers
    • Nepotrebno koristite Chrome Debugger API-je

  • Provedite testiranje bihevioralnog sandboxa – Pratite:

    • Promjene DOM-a
    • Odlazni mrežni pozivi
    • Modificirani elementi
      Vremenski okvir udaljenih konfiguracijskih povlačenja

  • Blokiraj poznate domene zlonamjerne imovine – Prati domene povezane s ovim obiteljima proširenja.