LayerX je odkril več kot 40 zlonamernih razširitev brskalnika, ki so del treh različnih phishing kampanj.
Začetno odkrivanje te kampanje je opravil DomainTools Intelligence (DTI) ekipa, ki identificiral seznam sumljivih domen ki so komunicirale z razširitvami brskalnika, ki so se maskirale kot legitimne blagovne znamke. Vendar pa je raziskava DTI zagotovila seznam zlonamernih domen, ni opredelil celotnega seznama posameznih zlonamernih razširitev.
Na podlagi začetne raziskave DTI je LayerX preiskal označene URL-je, da bi odkril dejanske metapodatke razširitve za Chrome. Z analizo povezanih strani razširitve je LayerX lahko prepoznal:
- ID-ji razširitev
- Imena razširitev
- Založniki, ki stojijo za njimi
- Metapodatki razširitve, kot so datum objave, zadnja posodobitev programske opreme itd.
Ta preiskava je razkrila Več kot 40 zlonamernih razširitev, od katerih jih je veliko še vedno na voljo v trgovini Google Chrome.
Celoten seznam razširitev je na voljo na dnu te objave.
Ključne ugotovitve analize LayerX
Po podrobnejši analizi strani in vedenja razširitev je LayerX odkril več pomembnih vzorcev in spoznanj:
1. Razširitvene strani, ustvarjene z umetno inteligenco
Zlonamerne strani z razširitvami so imele zelo podobno strukturo, oblikovanje in jezik, kar kaže na verjetnost, da so bile samodejno ustvarjene z orodji umetne inteligence. Ta taktika je akterjem grožnje omogočila, da so hitro razširili svoja prizadevanja na več deset lažnih orodij z minimalnim ročnim naporom.
2. Ponarejanje priljubljenih orodij in blagovnih znamk
Razširitve so bile skrbno izdelane tako, da posnemajo znane platforme, vključno z:
- Fortinet / FortiVPN
- DeepSeek AI
- Calendly
- Orodja za pomoč pri YouTubu
- Kripto storitve, kot je DeBank
Z uporabo zaupanja uveljavljenih imen so se ta zlonamerna orodja učinkovito izognila sumu uporabnikov in se med namestitvijo izognila nadzoru.
3. Sofisticirano maskiranje blagovne znamke
Ne samo, da so se poskušali pretvarjati, da so znane legitimne razširitve in/ali blagovne znamke, ampak so se poskušali narediti tudi sami podobni njim:
- Registrirana imena domen, ki so si bila podobna (npr. calendlydaily[.]world in calendly-director[.com], da bi se izdajala za Calendly)
- Za vse razširitve, ki so del te kampanje, domena založnika in e-poštnega stika ni bila zasebni Gmail račun, temveč neodvisna domena, da bi bila videti bolj verodostojna.
- Kontaktni e-poštni naslovi so sledili standardni obliki »podpora@ime-domene«, kar je spet dajalo večjo verodostojnost in vtis, da za njimi stoji legitimni založnik.
Te razširitve napadalcem omogočajo stalen dostop do uporabniških sej, kar omogoča krajo podatkov, lažno predstavljanje in morebiten vstop v poslovna okolja.
Kako se lahko organizacije odzovejo
Trenutni val zlonamernih razširitev poudarja ključno slepo pego v varnostnem položaju mnogih organizacij: sam brskalnik. Organizacije lahko proaktivno ukrepajo za zmanjšanje tveganj:
1. Blokirajte zlonamerne razširitve z ID-jem razširitve
Organizacije lahko ročno blokirajo zlonamerne razširitve prek MDM ali uveljavljanja pravilnikov brskalnika. Vendar je ta metoda pogosto delovno intenzivna in zahteva, da varnostne ekipe sledijo ID-jem razširitev, spremljajo nove grožnje in se odzivajo skoraj v realnem času.
2. Uveljavite higieno podaljškov
Upoštevajte osnovne higienske predpise za razširitve brskalnika:
- Blokiraj razširitve neznanih ali nepreverjenih založnikov
- Omeji namestitev mladih razširitev (nedavno objavljeno)
- Označi razširitve z nizkim številom pregledov ali nenavadnimi zahtevami za dovoljenja
- Izogibajte se orodjem, povezanim s sumljivimi ali ponarejanjem blagovnih znamk domenami
3. Blokirajte razširitve, tudi če so bile odstranjene iz trgovine Chrome
Čeprav so bile nekatere ogrožene razširitve že odstranjene iz trgovine Google Chrome, odstranitev iz trgovine ne odstrani aktivnih namestitev iz brskalnikov uporabnikov. Zato jih morajo uporabniki in organizacije ročno odstraniti.
Kako vam lahko LayerX pomaga
LayerX ponuja namensko zasnovano platformo za varnost brskalnikov, ki v realnem času nenehno spremlja in ocenjuje razširitve. Ponuja popolno odkrivanje vseh razširitev, samodejno razvrščanje tveganj in natančne možnosti izvrševanja za blokiranje zlonamernih razširitev.
Med drugimi zmogljivostmi lahko:
- Samodejno blokiranje zlonamernih ali visoko tveganih razširitev
- Zaznavanje razširitev, ki izvajajo sumljiva dejanja, kot so kraja piškotkov, vstavljanje skriptov itd.
- Dovoli skrbnikom, da nastavijo in uveljavijo pravilnike za razširitve v celotni organizaciji
- Spremljajte hitro spreminjajoče se grožnje s telemetrijo in obveščanjem o grožnjah
Za organizacije, ki jih skrbijo grožnje razširitev brskalnika, LayerX ponuja brezplačen pregled razširitev brskalnika. Pregled vključuje odkrivanje vseh razširitev brskalnika, nameščenih v vašem okolju, mapiranje, kateri uporabniki imajo nameščene katere razširitve, in priporočila za odpravo izpostavljenosti zlonamernim razširitvam.
Klikni tukaj da se prijavite na dopolnilni pregled razširitve.
Seznam ID-jev zlonamernih razširitev:
| ID razširitve | Ime razširitve | Založba |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Brezplačni pomočnik umetne inteligence | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Statistika spletnega mesta | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator imen blagovnih znamk oblačil | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitalna sredstva | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Sektor proti pranju denarja | Brezplačni preverjevalnik kriptovalut proti pranju denarja | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Vizija kripto kitov | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgegggnkc | Calendly Daily | Brezplačna programska oprema za načrtovanje sestankov | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Brezplačna programska oprema za načrtovanje sestankov | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Brezplačno orodje za Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Dvojni splet | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecopphinnplmijkol | Brskalnik SQLite | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | Klepet z umetno inteligenco DeepSeek | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Pretvorite PDF v JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | Validator HTML | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | Preverjevalnik CMS-ja | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Kalkulator za izračun urnega dohodka | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | Validator CSS | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Preverjevalnik e-pošte – preverite e-poštni naslov z enim klikom | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Opozorilo o kripto kitih – podatki o transakcijah veriženja blokov | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Spletna analitika – preverjevalnik spletnega prometa in SEO | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Brezplačno orodje za vohunjenje oglasov za Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – SuperApp za meta oglaševalce | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Preverjevalnik spletnega prometa in SEO | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – brezplačno orodje za vohunjenje oglasov za Facebook | https://meta-spy[.]help |
| nejfdccopmmimphlmmdfjobodgeaoihd | Brezplačen VPN – Raccoon | Neomejen VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Brezplačen VPN – Orhideja | Neomejen VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | Brezplačni VPN – Soul VPN Neomejen VPN Proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Spremljanje spletnih strani | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | AI pisatelj | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkpcgkmaibec | AI generator oglasov | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Generator naslovov | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Spletna ura | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | YouTubova vizija | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Spletne metrike – Preverjevalnik spletnega prometa in SEO | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Cena Bitcoina v živo | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Skrajševalec povezav | https://u99[.]pro |
