Home Blog „AiFrame” – fałszywe rozszerzenia asystenta AI, które atakują 260 000 użytkowników przeglądarki Chrome za pomocą wstrzykiwanych ramek iframe

„AiFrame” – fałszywe rozszerzenia asystenta AI, które atakują 260 000 użytkowników przeglądarki Chrome za pomocą wstrzykiwanych ramek iframe


Współautorzy: Dar Kahllon

W miarę jak narzędzia sztucznej inteligencji, takie jak ChatGPT, Claude, Gemini i Grok, stają się częścią codziennych procesów, atakujący coraz częściej wykorzystują ich popularność do rozpowszechniania złośliwych rozszerzeń przeglądarek.

W tym badaniu odkryliśmy skoordynowana kampania rozszerzeń Chrome udających asystentów AI do podsumowań, czatów, pisania i pomocy w GmailuChoć na pierwszy rzut oka narzędzia te wydają się legalne, kryją w sobie niebezpieczną architekturę: zamiast implementować podstawową funkcjonalność lokalnie, osadzają zdalne, sterowane przez serwer interfejsy wewnątrz powierzchni kontrolowanych przez rozszerzenia i działają jako uprzywilejowane serwery proxy, udzielając zdalnej infrastrukturze dostępu do wrażliwych funkcji przeglądarki.

Przez 30 różnych rozszerzeń Chrome, opublikowane pod różnymi nazwami i identyfikatorami rozszerzeń i mające wpływ ponad 260,000 XNUMX użytkowników, obserwowaliśmy ta sama baza kodu, uprawnienia i infrastruktura zaplecza.

Co ważne, ponieważ znaczna część funkcjonalności każdego rozszerzenia jest dostarczana za pośrednictwem komponenty hostowane zdalnieich zachowanie w czasie wykonywania jest określone przez zewnętrzne zmiany po stronie serwera, a nie na podstawie kodu sprawdzanego w momencie instalacji w sklepie Chrome Web Store.

Struktura i wpływ kampanii

Kampania składa się z wielu rozszerzeń Chrome, które wydają się niezależne, każde z inną nazwą, brandingiem i identyfikatorem rozszerzenia. W rzeczywistości wszystkie zidentyfikowane rozszerzenia mają tę samą strukturę wewnętrzną, logikę JavaScript, uprawnienia i infrastrukturę zaplecza.

Przez 30 rozszerzeń mających wpływ na ponad 260 000 użytkowników, aktywność ta stanowi pojedyncza skoordynowana operacja a nie oddzielnych narzędzi. Warto zauważyć, że kilka rozszerzeń w tej kampanii było Polecane przez Chrome Web Store, zwiększając w ten sposób postrzeganą wiarygodność i rozpoznawalność.

Ta technika jest powszechnie znana jako przedłużanie natryskowe, służy do unikania usuwania treści i obrony opartej na reputacji. Po usunięciu jednego rozszerzenia, inne pozostają dostępne lub są szybko ponownie publikowane pod nowymi tożsamościami. Chociaż rozszerzenia podszywają się pod różnych asystentów AI (Claude, ChatGPT, Gemini, Grok i ogólne narzędzia „AI Gmail”), wszystkie pełnią funkcję punkty wejścia do tego samego systemu kontrolowanego przez zaplecze.

Przegląd techniczny

W tym raporcie przeanalizujemy rozszerzenie AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp).

Rysunek 1. Wyróżniony asystent „Claude”

Zdalna ramka iframe jako główny interfejs użytkownika

Rozszerzenie renderuje pełnoekranowa ramka iframe wskazujący na domenę zdalną (claude.tapnetic.pro). Ta ramka iframe nakłada się na bieżącą stronę internetową i jest widoczna jako interfejs rozszerzenia.


Rysunek 2. Wstrzykiwanie ramki IFrame

Ponieważ iframe ładuje zdalną zawartość:

  • Operator może w każdej chwili zmienić interfejs użytkownika i logikę
  • Aktualizacja sklepu Chrome Web Store nie jest wymagana
  • Nowe możliwości można wprowadzać po cichu

Ekstrakcja zawartości strony

Po otrzymaniu instrukcji z ramki iframe rozszerzenie wysyła zapytanie do aktywnej karty i wywołuje skrypt treści, który wyodrębnia czytelną treść artykułu za pomocą biblioteki Readability Mozilli. Wyodrębnione dane obejmują tytuły, treść tekstową, fragmenty i metadane witryny.

Rysunek 3. Ekstrakcja zawartości strony

Informacje te są następnie przesyłane z powrotem do zdalnej ramki iframe, co oznacza, że ​​serwer zewnętrzny może odbierać ustrukturyzowane reprezentacje dowolnej strony przeglądanej przez użytkownika, w tym poufnych stron wewnętrznych lub uwierzytelnianych.

Możliwość rozpoznawania głosu

Rozszerzenie obsługuje również rozpoznawanie mowy wyzwalane komunikatami za pomocą interfejsu API Web Speech. Na żądanie z ramki iframe uruchamiane jest rozpoznawanie mowy, a wynikowy transkrypt jest zwracany na stronę zdalną.

Choć uprawnienia przeglądarki mogą w niektórych przypadkach ograniczać nadużycia, sama obecność takiej możliwości pokazuje, jak szeroki zakres dostępu przyznawany jest pilotowi.

Zbiór danych telemetrycznych

Pakiet rozszerzeń zawiera jawne skrypty pikseli śledzących, które wysyłają zdarzenia instalacji i deinstalacji do zewnętrznego punktu końcowego narzędzia analitycznego.

Mechanizmy te są powszechnie kojarzone z:

  • Śledzenie atrybucji
  • Lejki monetyzacji
  • Analiza retencji

Klaster integracji Gmaila

Część kampanii, obejmująca 15 rozszerzeń, jest wyraźnie ukierunkowana na Gmaila. Pomimo tego, że są publikowane pod różnymi nazwami i brandingiem oraz reklamowane jako oferujące różne funkcje, niekoniecznie związane z obsługą poczty e-mail, wszystkie te rozszerzenia korzystają z identycznej bazy kodu integracyjnego z Gmailem.

Każdy zawiera dedykowany skrypt treści przeznaczony wyłącznie dla Gmaila to działa na początek_dokumentu on poczta.google.com, oddzielone od ogólnego Skrypt zawartości. Ten moduł wstrzykuje elementy interfejsu użytkownika kontrolowane przez rozszerzenia do Gmaila i utrzymuje ich trwałość za pomocą MutationObserver i okresowe sondaże.

Integracja z Gmailem odczytuje widoczną treść wiadomości e-mail bezpośrednio z DOM, wielokrotnie wyodrębniając tekst wiadomości za pomocą .treśćtekstowa z widoku konwersacji w Gmailu. 


Rysunek 4. Odczyt zawartości Gmaila

Obejmuje to treść wątków wiadomości e-mail oraz, w zależności od stanu, tekst roboczy lub związany z pisaniem.

Gdy zostaną wywołane funkcje związane z Gmailem, takie jak odpowiedzi lub podsumowania wspomagane przez sztuczną inteligencję, wyodrębniona treść wiadomości e-mail zostanie przekazana do logiki rozszerzenia i przesłana do zewnętrzna infrastruktura zaplecza kontrolowana przez operatora rozszerzeniaW rezultacie treść wiadomości e-mail i powiązane z nią dane kontekstowe mogą zostać wysłane poza urządzenie, poza granice bezpieczeństwa usługi Gmail, na zdalne serwery.

C&C – Infrastruktura i atrybucja zagrożeń

Charakterystyka domeny C&C tapnetic[.]pro

Wszystkie analizowane rozszerzenia komunikują się z infrastrukturą w ramach tapnetic[.]pro Domena. Chociaż domena hostuje publicznie dostępną witrynę internetową, która na pierwszy rzut oka wydaje się legalna, nasza analiza wykazała, że:

  • Strona internetowa prezentuje treści o charakterze marketingowym
  • Żadne funkcje, pliki do pobrania ani działania użytkownika nie są faktycznie funkcjonalne
  • Nie podano żadnych jasnych informacji o produkcie, usłudze ani własności

W momencie analizy wydawało się, że miejsce to pełni przede wszystkim funkcję infrastruktura pokrycia, nadając domenie legitymację, podczas gdy rzeczywista aktywność odbywa się za pośrednictwem poddomen kontrolowanych przez rozszerzenia.

Rysunek 5. Tapnetic.pro

Segmentacja poddomen

Każde rozszerzenie komunikuje się z dedykowana subdomena of tapnetic[.]pro, zazwyczaj tematycznie dopasowane do imitowanego produktu AI (np. Claude, ChatGPT, Gemini).

Rysunek 6. Poddomeny Tapnetic.pro – VirusTotal.com

Taka konstrukcja zapewnia operatorowi szereg korzyści:

  • Logiczne rozdzielenie rozszerzeń
  • Zmniejszony promień rażenia w przypadku zablokowania pojedynczej subdomeny
  • Łatwiejsza rotacja lub wymiana poszczególnych tylnych końcówek rozszerzeń

Pomimo różnych subdomen, struktura żądań, parametry i zachowanie serwera są spójne w całej kampanii, co wskazuje na istnienie jednego systemu zaplecza.

Nadużycia w cyklu życia rozszerzeń i unikanie ponownego przesyłania

Zaobserwowaliśmy również aktywne unikanie egzekwowania przepisów Chrome Web Store.

Jedno rozszerzenie kampanii, fppbiomdkfbhgjjdmojlogeceejinadg, został usunięty ze sklepu Chrome Web Store dnia 6 lutego 2025 r..

Niecałe dwa tygodnie później, identyczne rozszerzenie został opublikowany pod nowym identyfikatorem i nazwą:

  • Nowe ID rozszerzenia: gghdfkafnhfpaooiolhncejnlgglhkhe
  • Data przesłania: 20 lutego 2025 r.

Ponownie przesłane rozszerzenie to pełna kopia usuniętego:

  • Identyczna logika JavaScript
  • Te same uprawnienia
  • Ta sama architektura oparta na ramkach iframe
  • Ta sama infrastruktura tapnetic.pro

To zachowanie jest zgodne z taktyka przedłużania włosów, umożliwiając operatorom szybkie przywracanie dystrybucji po jej usunięciu, przy jednoczesnym zachowaniu tej samej kontroli nad zapleczem.

Wniosek

Wykorzystując zaufanie, jakim użytkownicy darzą znane systemy sztucznej inteligencji, takie jak Claude, ChatGPT, Gemini i Grok, atakujący mogą rozpowszechniać rozszerzenia, które zasadniczo łamią model zabezpieczeń przeglądarki.

Wykorzystanie pełnoekranowych ramek zdalnych w połączeniu z uprzywilejowanymi mostami API przekształca te rozszerzenia w brokerzy dostępu ogólnego przeznaczenia, zdolne do gromadzenia danych, monitorowania zachowań użytkowników i cichej ewolucji w czasie. Choć budowane jako narzędzia zwiększające produktywność, ich architektura jest niezgodna z rozsądnymi oczekiwaniami dotyczącymi prywatności i przejrzystości.

Wraz ze wzrostem popularności generatywnej sztucznej inteligencji, jej obrońcy powinni spodziewać się mnożenia podobnych kampanii. Rozszerzenia delegujące podstawową funkcjonalność do zdalnej, zmiennej infrastruktury powinny być traktowane nie jako narzędzia zapewniające wygodę, ale jako potencjalne platformy nadzoru.

Wskaźniki zagrożenia (IOC)

Rozszerzenia

ID Imię i nazwisko Instaluje
nlhpidbjmmffhoogcennoiopekbiglbp

Asystent AI

 50,000
gcfianbpjcfkafpiadmheejkokcmdkjl

Lama

 147
fppbiomdkfbhgjjdmojlogeceejinadg

Pasek boczny Gemini AI

 80,000
djhjckkfgancelbmgcamjimgphaphjdl

Pasek boczny AI

 9,000
llojfncgbabajmdglnkbhmiebiinohek

Pasek boczny ChatGPT

 10,000
gghdfkafnhfpaooiolhncejnlgglhkhe

Pasek boczny AI

 50,000
cgmmcoandmabammnhfnjcakdeejbfimn

Grok

 261
phiphcloddhmndjbdedgfbglhpkjcffh

Pytanie o czat Gpt

 396
pgfibniplgcnccdnkhblpmmlfodijppg

CzatGBT

 1,000
nkgbfengofophpmonladgaldioelckbe

Bot czatu GPT

 426
gcdfailafdfjbailcdcbjmeginhncjkb

Grok Chatbot

 225
ebmmjmakencgmgoijdfnbailknaaiffh

Czat z Bliźniakami

 760
baonbjckakcpgliaafcodddkoednpjgf

XAI

 138
fdlagfnfaheppaigholhoojabfaapnhb

Google Bliźnięta

 7,000
gnaekhndaddbimfllbgmecjijbbfpabc

Zapytaj Bliźniąt

 1,000
hgnjolbjpjmhepcbjgeeallnamkjnfgi Generator listów AI 129
lodlcpnbppgipaimgbjgniokjcnpiiad Generator wiadomości AI 24
cmpmhhjahlioglkleiofbjodhhiejhei Tłumacz AI 194
bilfflcophfehljhpnklmcelkoiffapb AI do tłumaczeń 91
cicjlpmjmimeoempffghfglndokjihhn Generator listów motywacyjnych AI 27
ckneindgfbjnbbiggcmnjeofelhflhaj Generator obrazów AI Czat GPT 249
dbclhjpifdfkofnmjfpheiondafpkoed Generator tapet AI 289
ecikmpoikkcelnakpgaeplcjoickgacj Generator obrazów AI 813
kepibbehhljlecgaeihhnmibnmikbnga Pobierz DeepSeek 275
ckicoadchmmndbakbokhapncehanaeni Pisarz e-maili AI 64
fnjinbdmidgjkpmlihcginjipjaoapol Generator e-maili AI 881
gohgeedemmaohocbaccllpkabadoogpl Czat DeepSeek 1,000
flnecpdpbhdblkpnegekobahlijbmfok Generator obrazów ChatGPT 251
acaeafediijmccnjlokgcdiojiljfpbe Tłumacz ChatGPT 30,000
kblengdlefjpjkekanpoidgoghdngdgl AI GPT 20,000
idhknpoceajhnjokpnbicildeoligdgh Tłumaczenie ChatGPT 1,000
fpmkabpaklbhbhegegapfkenkmpipick Czat GPT dla Gmaila 1,000

domeny

Tapnetic[.]pro

aplikacjaonline[.]pro

E-maile

Taktyki, techniki i procedury (TTP)

Taktyka Technika
Rozwój zasobów LX2.003(T1583) - Nabycie infrastruktury
Wstępny dostęp LX3.004 (T1189) - Kompromis Drive-by
Wstępny dostęp LX3.003 (T1199) - Zaufana relacja
Egzekucja LX4.003 - Wykonanie skryptu
Unikanie obrony LX7.011 (T1036) - Maskarada
Dostęp do poświadczeń LX8.007(T1557) - Przeciwnik w środku
LX10.012 - Zbieranie danych dotyczących komunikacji internetowej
LX10.005 - Zbieranie informacji o użytkowniku
Dowodzenia i kontroli LX11.004 - Nawiąż połączenie sieciowe
Dowodzenia i kontroli LX11.005 - C2 oparte na usługach sieciowych
Exfiltracja LX12.001 - Eksfiltracja danych

Zalecenia

Specjaliści ds. bezpieczeństwa, osoby odpowiedzialne za obronę przedsiębiorstw i twórcy przeglądarek powinni podjąć następujące działania:

  • Rozszerzenia audytu w zarządzanych środowiskach, zwłaszcza te zainstalowane poza kontrolą zasad.
  • Wdróż technologie monitorowania rozszerzeń oparte na zachowaniu, aby wykrywać nieautoryzowaną aktywność sieciową lub podejrzane manipulacje DOM.
  • Wzmocnij monitorowanie i egzekwowanie zasad w czasie wykonywania, a nie tylko przegląd w czasie instalacji, aby wykrywać zmiany w zachowaniu po instalacji spowodowane przez infrastrukturę zaplecza.