A felhasználókat rosszindulatú „MI” Chrome-bővítményekkel célozzák

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Egy kiterjedt, legalább 30 elemből álló, már több mint 300 000 felhasználót érintő rosszindulatú Chrome-bővítménykampány MI-alapú asszisztens látszatát keltve gyűjt hitelesítési adatokat, e-mail-tartalmakat és böngészési információkat. A kampányt a LayerX kutatói azonosították, akik AiFrame néven hivatkoznak az összehangolt műveletre. Megállapításuk szerint a vizsgált bővítmények egységes vezérlőinfrastruktúrát használnak, és egyetlen tapnetic[.]pro domainhez kapcsolódnak.

A kutatók tájékoztatása szerint az AiFrame kampány legnépszerűbb eleme a Gemini AI Sidebar nevű bővítmény volt, amelyet azonban időközben eltávolították a Chrome Web Store kínálatából. Ugyanakkor a BleepingComputer szerint több bővítmény továbbra is elérhető. A bővítmények nevei esetenként megváltozhatnak, de az egyedi azonosítók alapján egyértelműen azonosíthatók:

  1. AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe)
  2. AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp)
  3. ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe)
  4. AI GPT (kblengdlefjpjkekanpoidgoghdngdgl)
  5. ChatGPT (llojfncgbabajmdglnkbhmiebiinohek)
  6. AI Sidebar (djhjckkfgancelbmgcamjimgphaphjdl)
  7. Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb)

A LayerX elemzése alapján mind a 30 komponens azonos belső struktúrát, JavaScript-logikát, engedélykészletet és háttérrendszert alkalmaz.

A rosszindulatú bővítmények lokálisan nem rendelkeznek valódi MI-funkciókkal. A hirdetett képességeket egy teljes képernyős iframe komponensen keresztül biztosítják, amely egy távoli szerverről tölt be tartalmat. Ez lehetővé teszi az üzemeltetők számára, hogy a szerveroldali logika módosításával, kliensoldali frissítés és egy újbóli felülvizsgálat nélkül változtassák meg a működést. A háttérben a bővítmények a felhasználó által meglátogatott weboldalak tartalmát, beleértve a hitelesítési oldalakat is, a Mozilla Readability könyvtár segítségével nyerik ki.

A vizsgált komponensek fele kifejezetten a Gmail-fiókokból származó adatok kinyerésére optimalizált. Dedikált content scriptet futtat a mail.google.com domainen már a „document_start” fázisban, és felületi elemeket injektál az oldalba. A megjelenített e-mail-szöveg közvetlenül a DOM-ból kerül kiolvasásra, ismétlődő módon, a „.textContent” attribútum segítségével, ami a piszkozatként mentett levelek tartalmát is érintheti.

Amennyiben a felhasználó MI-alapú funkciót, például válaszjavaslatot vagy összefoglalót használ, a kinyert e-mail-tartalom a bővítmény logikáján keresztül harmadik fél által kezelt háttérinfrastruktúrába kerül továbbításra. Ennek következtében az üzenetek szövege és a hozzá kapcsolódó kontextuális adatok a felhasználó végpontjáról, a Gmail biztonsági védelmi rétegét megkerülve, távoli szerverekre továbbítódhatnak.

A bővítmények emellett a Web Speech API-ra épülő, távolról aktiválható hangfelismerési és átiratkészítési funkcióval is rendelkeznek. A konfigurált jogosultságoktól függően ez akár a felhasználó környezetében zajló beszélgetések rögzítését és továbbítását is lehetővé teheti.

A kutatók javasolják a kompromittálódási indikátorok (IoC-k) tételes ellenőrzését, az érintett felhasználói fiókok jelszavának haladéktalan megváltoztatását, valamint az aktív munkamenetek és hitelesítési tokenek érvénytelenítését.

(forrás, forrás)