Natukoy ng LayerX ang mahigit 40 nakakahamak na extension ng browser na bahagi ng tatlong natatanging kampanya sa phishing.
Ang paunang pagtuklas ng kampanyang ito ay ginawa ng DomainTools Intelligence (DTI) pangkat, sino natukoy ang isang listahan ng mga kahina-hinalang domain na nakikipag-ugnayan sa mga extension ng browser na nagpapanggap bilang mga lehitimong brand. Gayunpaman, habang ang pananaliksik ng DTI ay nagbigay ng a listahan ng mga nakakahamak na domain, hindi nito natukoy ang buong listahan ng mga indibidwal na nakakahamak na extension.
Batay sa paunang pananaliksik ng DTI, sinisiyasat ng LayerX ang mga na-flag na URL upang matuklasan ang aktwal na metadata ng extension ng Chrome. Sa pamamagitan ng pagsusuri sa nauugnay na mga pahina ng extension, natukoy ng LayerX ang:
- Mga extension ID
- Mga Pangalan ng Extension
- Ang mga publisher sa likod nila
- Extension meta-data tulad ng petsa ng publikasyon, huling pag-update ng software, atbp.
Ang pagsisiyasat na ito ay nagsiwalat 40+ malisyosong extension, marami sa mga ito ay live pa rin sa Google Chrome Store.
Ang buong listahan ng mga extension ay ibinigay sa ibaba ng post na ito.
Mga Pangunahing Natuklasan mula sa Pagsusuri ng LayerX
Sa mas malapit na pagsusuri sa mga pahina ng extension at pag-uugali, natuklasan ng LayerX ang ilang mahahalagang pattern at insight:
1. Mga Pahina ng Extension na Binuo ng AI
Ang mga nakakahamak na pahina ng extension ay nagpakita ng isang lubos na katulad na istraktura, pag-format, at wika, na nagtuturo sa posibilidad na sila ay awtomatikong nabuo gamit ang mga tool ng AI. Ang taktika na ito ay nagbigay-daan sa mga aktor ng pagbabanta na mabilis na palakihin ang kanilang mga pagsisikap sa dose-dosenang mga pekeng tool na may kaunting manu-manong pagsisikap.
2. Pagpapanggap ng Mga Sikat na Tool at Brand
Ang mga extension ay maingat na ginawa upang gayahin ang mga kilalang platform, kabilang ang:
- Fortinet / FortiVPN
- DeepSeek AI
- Calendly
- Mga tool sa katulong ng YouTube
- Crypto utilities tulad ng DeBank
Sa pamamagitan ng pagsakay sa tiwala ng mga itinatag na pangalan, ang mga nakakahamak na tool na ito ay epektibong nalampasan ang hinala ng user at iniiwasan ang pagsisiyasat sa panahon ng pag-install.
3. Sopistikadong Brand Masquerading
Hindi lang na sinubukan nilang magpanggap bilang mga kilalang lehitimong extension at/o brand, sinubukan nilang gawing kamukha:
- Mga rehistradong domain name na magkamukha (hal., calendlydaily[.]world at calendly-director[.com], upang magpanggap bilang Calendly)
- Para sa lahat ng extension na bahagi ng campaign na ito, ang domain ng publisher at email contact ay hindi isang pribadong Gmail account, ngunit isang independiyenteng domain, upang gawin itong mas kapani-paniwala.
- Ang mga email address sa pakikipag-ugnayan ay sumunod sa karaniwang format ng "support@domain-name", na muling nagbibigay ng higit na kredibilidad at ginagawa itong parang may lehitimong publisher sa likod nito
Ang mga extension na ito ay nagbibigay sa mga umaatake ng patuloy na access sa mga session ng user, na nagbibigay-daan sa pagnanakaw ng data, pagpapanggap, at potensyal na pagpasok sa mga corporate environment.
Paano Makatugon ang Mga Organisasyon
Ang kasalukuyang alon ng mga nakakahamak na extension ay nagha-highlight ng isang pangunahing blind spot sa posture ng seguridad ng maraming organisasyon: ang browser mismo. Narito kung paano maaaring gumawa ng mga aktibong hakbang ang mga organisasyon upang mabawasan ang mga panganib:
1. I-block ang Mga Nakakahamak na Extension sa pamamagitan ng Extension ID
Maaaring manual na i-block ng mga organisasyon ang mga nakakahamak na extension sa pamamagitan ng MDM o pagpapatupad ng patakaran sa browser. Gayunpaman, ang pamamaraang ito ay madalas na matrabaho, na nangangailangan ng mga security team na subaybayan ang mga extension ID, subaybayan ang mga bagong banta, at tumugon nang malapit sa real-time.
2. Ipatupad ang Extension Hygiene
Magpatibay ng mga pangunahing patakaran sa kalinisan para sa mga extension ng browser:
- I-block ang mga extension mula sa hindi kilalang o hindi na-verify na mga publisher
- Limitahan ang pag-install ng mga batang extension (na-publish kamakailan)
- I-flag ang mga extension na may mababang bilang ng pagsusuri o hindi pangkaraniwang mga kahilingan sa pahintulot
- Iwasan ang mga tool na nauugnay sa mga kahina-hinalang domain o panggagaya ng brand
3. I-block ang Mga Extension Kahit na Inalis ang mga Ito sa Chrome Store
Habang ang ilang nakompromisong extension ay naalis na sa Google Chrome Store, ang pag-alis sa tindahan ay hindi nag-aalis ng mga aktibong pag-install mula sa mga browser ng mga user. Samakatuwid, ang mga user at organisasyon ay dapat manu-manong pumasok at alisin ang mga ito.
Paano Makakatulong ang LayerX
Ang LayerX ay nagbibigay ng isang layunin-built na platform ng seguridad ng browser na patuloy na sinusubaybayan at sinusuri ang mga extension sa real-time. Nag-aalok ito ng ganap na pagtuklas ng lahat ng extension, awtomatikong pag-uuri ng panganib, at butil na mga opsyon sa pagpapatupad upang harangan ang mga nakakahamak na extension.
Sa iba pang mga kakayahan, maaari itong:
- Awtomatikong i-block ang mga nakakahamak o mataas na panganib na extension
- I-detect ang mga extension na nagsasagawa ng mga kahina-hinalang aksyon gaya ng pagnanakaw ng cookies, pag-inject ng mga script, atbp.
- Payagan ang mga admin na magtakda at magpatupad ng mga patakaran sa extension sa buong organisasyon
- Makasabay sa mabilis na paggalaw ng mga pagbabanta sa pamamagitan ng telemetry at threat intelligence
Para sa mga organisasyong nag-aalala tungkol sa banta ng kanilang extension ng browser, nag-aalok ang LayerX ng libreng pag-audit ng extension ng browser. Kasama sa pag-audit ang pagtuklas ng lahat ng mga extension ng browser na naka-install sa iyong kapaligiran, pagmamapa kung aling mga user ang may kung anong mga extension ang naka-install at naaaksyunan na mga rekomendasyon upang ayusin ang pagkakalantad sa mga nakakahamak na extension.
Pindutin dito para mag-sign up para sa complementary extension audit.
Listahan ng mga Nakakahamak na Extension ID:
| Extension ID | Pangalan ng Extension | Tagapaglathala |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Libreng AI Assistant | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Site Stats | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Tagabuo ng Pangalan ng Brand ng Damit | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Mga Digital na Asset | winchester[.]abram37 |
| acmiibcdcmaghndcahglamnhnlmcmlng | Sektor ng AML | Libreng Crypto AML Checker | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Crypto Whales Vision | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Libreng Software sa Pag-iiskedyul ng Pulong | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Calendly Docket | Libreng Software sa Pag-iiskedyul ng Pulong | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Libreng tool para sa Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Twin Web | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | SQLite browser | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI Chat | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | AI Sentence Rewriter | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | I-convert ang PDF sa JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML validator | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS Checker | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Oras-oras sa salary calculator | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS validator | https://cssvalidator[.]app |
| eheagnmidghfknkcaehacggccfiidhik | Email checker – i-verify ang email address sa 1-click | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Crypto Whale Alert – Data ng Transaksyon ng Blockchain | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Web Analytics – Trapiko sa Website at SEO Checker | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Libreng Ad Spy tool para sa Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – Ang SuperApp para sa Meta Advertiser | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Katulad na Net – Trapiko sa Website at SEO Checker | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Libreng Ad Spy tool para sa Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Libreng VPN – Raccoon | Walang limitasyong VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Libreng VPN – Orchid | Walang limitasyong VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | Libre ang VPN – Walang limitasyong VPN Proxy ng Soul VPN | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Pagsubaybay sa website | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | Nagsusulat ng AI | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | AI Ad Generator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Headline Generator | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Panoorin sa Web | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Youtube Vision | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Mga Sukatan sa Web – Trapiko ng Website at SEO Checker | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Live na presyo ng Bitcoin | https://bitcoin-price[.]live |
| oliiideaalkijolihhhaibhbjfhbdcnm | Link shortener | https://u99[.]pro |


