Natukoy ng LayerX ang mahigit 40 nakakahamak na extension ng browser na bahagi ng tatlong natatanging kampanya sa phishing.

Ang paunang pagtuklas ng kampanyang ito ay ginawa ng DomainTools Intelligence (DTI) pangkat, sino natukoy ang isang listahan ng mga kahina-hinalang domain na nakikipag-ugnayan sa mga extension ng browser na nagpapanggap bilang mga lehitimong brand. Gayunpaman, habang ang pananaliksik ng DTI ay nagbigay ng a listahan ng mga nakakahamak na domain, hindi nito natukoy ang buong listahan ng mga indibidwal na nakakahamak na extension.

Batay sa paunang pananaliksik ng DTI, sinisiyasat ng LayerX ang mga na-flag na URL upang matuklasan ang aktwal na metadata ng extension ng Chrome. Sa pamamagitan ng pagsusuri sa nauugnay na mga pahina ng extension, natukoy ng LayerX ang:

  • Mga extension ID
  • Mga Pangalan ng Extension
  • Ang mga publisher sa likod nila
  • Extension meta-data tulad ng petsa ng publikasyon, huling pag-update ng software, atbp.

Ang pagsisiyasat na ito ay nagsiwalat 40+ malisyosong extension, marami sa mga ito ay live pa rin sa Google Chrome Store.

Ang buong listahan ng mga extension ay ibinigay sa ibaba ng post na ito.

Mga Pangunahing Natuklasan mula sa Pagsusuri ng LayerX

Sa mas malapit na pagsusuri sa mga pahina ng extension at pag-uugali, natuklasan ng LayerX ang ilang mahahalagang pattern at insight:

1. Mga Pahina ng Extension na Binuo ng AI

Ang mga nakakahamak na pahina ng extension ay nagpakita ng isang lubos na katulad na istraktura, pag-format, at wika, na nagtuturo sa posibilidad na sila ay awtomatikong nabuo gamit ang mga tool ng AI. Ang taktika na ito ay nagbigay-daan sa mga aktor ng pagbabanta na mabilis na palakihin ang kanilang mga pagsisikap sa dose-dosenang mga pekeng tool na may kaunting manu-manong pagsisikap.

2. Pagpapanggap ng Mga Sikat na Tool at Brand

Ang mga extension ay maingat na ginawa upang gayahin ang mga kilalang platform, kabilang ang:

  • Fortinet / FortiVPN
  • DeepSeek AI
  • Calendly
  • Mga tool sa katulong ng YouTube
  • Crypto utilities tulad ng DeBank

Sa pamamagitan ng pagsakay sa tiwala ng mga itinatag na pangalan, ang mga nakakahamak na tool na ito ay epektibong nalampasan ang hinala ng user at iniiwasan ang pagsisiyasat sa panahon ng pag-install.

3. Sopistikadong Brand Masquerading

Hindi lang na sinubukan nilang magpanggap bilang mga kilalang lehitimong extension at/o brand, sinubukan nilang gawing kamukha:

  • Mga rehistradong domain name na magkamukha (hal., calendlydaily[.]world at calendly-director[.com], upang magpanggap bilang Calendly)
  • Para sa lahat ng extension na bahagi ng campaign na ito, ang domain ng publisher at email contact ay hindi isang pribadong Gmail account, ngunit isang independiyenteng domain, upang gawin itong mas kapani-paniwala.
  • Ang mga email address sa pakikipag-ugnayan ay sumunod sa karaniwang format ng "support@domain-name", na muling nagbibigay ng higit na kredibilidad at ginagawa itong parang may lehitimong publisher sa likod nito

Ang mga extension na ito ay nagbibigay sa mga umaatake ng patuloy na access sa mga session ng user, na nagbibigay-daan sa pagnanakaw ng data, pagpapanggap, at potensyal na pagpasok sa mga corporate environment.

Paano Makatugon ang Mga Organisasyon

Ang kasalukuyang alon ng mga nakakahamak na extension ay nagha-highlight ng isang pangunahing blind spot sa posture ng seguridad ng maraming organisasyon: ang browser mismo. Narito kung paano maaaring gumawa ng mga aktibong hakbang ang mga organisasyon upang mabawasan ang mga panganib:

1. I-block ang Mga Nakakahamak na Extension sa pamamagitan ng Extension ID

Maaaring manual na i-block ng mga organisasyon ang mga nakakahamak na extension sa pamamagitan ng MDM o pagpapatupad ng patakaran sa browser. Gayunpaman, ang pamamaraang ito ay madalas na matrabaho, na nangangailangan ng mga security team na subaybayan ang mga extension ID, subaybayan ang mga bagong banta, at tumugon nang malapit sa real-time.

2. Ipatupad ang Extension Hygiene

Magpatibay ng mga pangunahing patakaran sa kalinisan para sa mga extension ng browser:

  • I-block ang mga extension mula sa hindi kilalang o hindi na-verify na mga publisher
  • Limitahan ang pag-install ng mga batang extension (na-publish kamakailan)
  • I-flag ang mga extension na may mababang bilang ng pagsusuri o hindi pangkaraniwang mga kahilingan sa pahintulot
  • Iwasan ang mga tool na nauugnay sa mga kahina-hinalang domain o panggagaya ng brand

3. I-block ang Mga Extension Kahit na Inalis ang mga Ito sa Chrome Store

Habang ang ilang nakompromisong extension ay naalis na sa Google Chrome Store, ang pag-alis sa tindahan ay hindi nag-aalis ng mga aktibong pag-install mula sa mga browser ng mga user. Samakatuwid, ang mga user at organisasyon ay dapat manu-manong pumasok at alisin ang mga ito.

Paano Makakatulong ang LayerX

Ang LayerX ay nagbibigay ng isang layunin-built na platform ng seguridad ng browser na patuloy na sinusubaybayan at sinusuri ang mga extension sa real-time. Nag-aalok ito ng ganap na pagtuklas ng lahat ng extension, awtomatikong pag-uuri ng panganib, at butil na mga opsyon sa pagpapatupad upang harangan ang mga nakakahamak na extension.

Sa iba pang mga kakayahan, maaari itong:

  • Awtomatikong i-block ang mga nakakahamak o mataas na panganib na extension
  • I-detect ang mga extension na nagsasagawa ng mga kahina-hinalang aksyon gaya ng pagnanakaw ng cookies, pag-inject ng mga script, atbp.
  • Payagan ang mga admin na magtakda at magpatupad ng mga patakaran sa extension sa buong organisasyon
  • Makasabay sa mabilis na paggalaw ng mga pagbabanta sa pamamagitan ng telemetry at threat intelligence

Para sa mga organisasyong nag-aalala tungkol sa banta ng kanilang extension ng browser, nag-aalok ang LayerX ng libreng pag-audit ng extension ng browser. Kasama sa pag-audit ang pagtuklas ng lahat ng mga extension ng browser na naka-install sa iyong kapaligiran, pagmamapa kung aling mga user ang may kung anong mga extension ang naka-install at naaaksyunan na mga rekomendasyon upang ayusin ang pagkakalantad sa mga nakakahamak na extension.

Pindutin dito para mag-sign up para sa complementary extension audit.

Listahan ng mga Nakakahamak na Extension ID:

Extension ID Pangalan ng Extension Tagapaglathala
ccollcihnnpcbjcgcjfmabegkpbehnip FortiVPN https://forti-vpn[.]com/
aeibljandkelbcaaemkdnbaacppjdmom Manus AI | Libreng AI Assistant https://manusai[.]sbs
fcfmhlijjmckglejcgdclfneafoehafm Site Stats https://sitestats[.]world
abbngaojehjekanfdipifimgmppiojpl Tagabuo ng Pangalan ng Brand ng Damit https://clothingbrandnamegenerator[.]app
dohmiglipinohflhapdagfgbldhmoojl DeBank – Mga Digital na Asset winchester[.]abram37
acmiibcdcmaghndcahglamnhnlmcmlng Sektor ng AML | Libreng Crypto AML Checker https://amlsector[.]com
mipophmjfhpecleajkijfifmffcjdiac Crypto Whales Vision https://cryptowhalesvision[.]world
cknmibbkfbephciofemdjndbgebggnkc Calendly Daily | Libreng Software sa Pag-iiskedyul ng Pulong https://calendly-daily[.]com
gmigkpkjegnpmjpmnmgnkhmoinpgdnfc Calendly Docket | Libreng Software sa Pag-iiskedyul ng Pulong https://calendly-docket[.]com
ahgccenjociolkbpgbfibmfclcfnlaei CreativeHunter – Libreng tool para sa Facebook https://creativehunter[.]world
kjhjnbdjonamibpaalanflmidplhiehe Twin Web https://twin-web[.]world
pobknfocgoijjmokmhimkfhemcnigdji EventSphere https://eventphere[.]com
iclckldkfemlnecocpphinnplnmijkol SQLite browser https://sqlitebrowser[.]app
jmpcodajbcpgkebjipbmjdoboehfiddd DeepSeek AI Chat https://ai-chat-bot[.]pro
ihdnbohcfnegemgomjcpckmpnkdgopon AI Sentence Rewriter https://ai-sentence-rewriter[.]com
oeefjlikahigmlnplgijgeeecbpemhip I-convert ang PDF sa JPG https://pdf-to-jpg[.]app
aofddmgnidinflambjlfkpboeamdldbd HTML validator https://htmlvalidator[.]app
acchdggcflgidjdcnhnnkfengdcmldae CMS Checker https://cmschecker[.]app
albakpncdngcejcjdahomfbkakbmafgb Oras-oras sa salary calculator​ https://hourlytosalarycalculator[.]app
hhlcpmdhlcoghhfgiiopcjbkfmdliknc CSS validator https://cssvalidator[.]app
eheagnmidghfknkcaehacggccfiidhik Email checker – i-verify ang email address sa 1-click https://email-checker[.]pro
ckcfkaikieiicfdeomgehmnjglnofhde Crypto Whale Alert – Data ng Transaksyon ng Blockchain https://crypto-whale[.]top
pbpobpjppnecgcinajfpaninmjkdbidm Web Analytics – Trapiko sa Website at SEO Checker https://web-analytics[.]top
gdfjahfbaillhkeigeinoomhjnfajbon Ad Vision – Libreng Ad Spy tool para sa Facebook https://ad-vision[.]click
eoalbaojjblgndkffciljmiddhgjdldh Madgicx Plus – Ang SuperApp para sa Meta Advertiser https://madgicx-plus[.]com
odhmhkkhpibfjijmpgcdjondompgocog Katulad na Net – Trapiko sa Website at SEO Checker https://similar-net[.]com
ohhhngpnknpdhmdmpmoccgjmmkkleipn Meta Spy – Libreng Ad Spy tool para sa Facebook https://meta-spy[.]help
nejfdccopmpimplhmmdfjobodgeaoihd Libreng VPN – Raccoon | Walang limitasyong VPN https://raccoon-vpn[.]world
dhhmopcmpiadcgchhhldcpoeppcofdic Libreng VPN – Orchid | Walang limitasyong VPN https://orchid-vpn[.]com
ffmfnniephcagojkpjddjiogjeoijjgl Libre ang VPN – Walang limitasyong VPN Proxy ng Soul VPN https://soul-vpn[.]com
nabbdpjneieneepdfnmkdhooellilgho Pagsubaybay sa website https://websitemonitoring[.]pro
mldeggofnfaiinachdeidpecmflffoam Nagsusulat ng AI https://aiwriter[.]expert
pndmbpnfolikhfnfnkmjkkpcgkmaibec AI Ad Generator https://aiadgenerator[.]app
elipckbifniceedgalakgnmgeimfdcdi Headline Generator https://headlinegenerator[.]app
kkgmdjjpobmenpkhcclceelekpbnnana Panoorin sa Web https://webwatch[.]world
dcnjgfafcnopabhpgoekkgckgkkddpjg Youtube Vision https://youtube-vision[.]world
mllkmmdaapekjehapekhjjiednchgmag Mga Sukatan sa Web – Trapiko ng Website at SEO Checker https://web-metrics[.]link
bhahpmoebdipfoaadcclkcnieeokebnf Live na presyo ng Bitcoin https://bitcoin-price[.]live
oliiideaalkijolihhhaibhbjfhbdcnm Link shortener https://u99[.]pro