Выдавая себя за Google Authenticator: расширение-двойник для Chrome оказалось "спящим" шпионом кампании AiFrame

На первый взгляд, расширение под названием "2FA Authenticator" выполняет заявленные функции. Оно позволяет генерировать коды TOTP (одноразовые пароли, привязанные ко времени) прямо в браузере, и даже предлагает работу в офлайн-режиме, что создаёт иллюзию легитимности. Однако за этой безобидной оболочкой скрывается гораздо более опасная архитектура. Специалисты по информационной безопасности обнаружили, что манифест расширения содержит запрос на доступ ко всем веб-сайтам ("<all_urls>"). Для простого генератора кодов, который не взаимодействует с содержимым веб-страниц, такое разрешение является вопиюще избыточным. В текущей версии кода это разрешение не используется, но его наличие является классическим признаком метода "deploy clean, update dirty". Суть этой стратегии заключается в том, чтобы первоначально опубликовать "чистое" приложение, пройти проверку магазина Chrome Web Store, а затем удалённо протолкнуть вредоносное обновление, которое активирует все заложенные полномочия. Более того, в коде расширения был найден "спящий" обработчик сообщений, который в данный момент принимает любые команды, но не предпринимает никаких действий. Эта структура является каркасом для будущего ретранслятора данных между внедрёнными скриптами и сервером управления злоумышленников.

При установке расширение сразу же открывает в новой вкладке страницу приветствия, расположенную на домене "authenticator.whitelab[.]studio", отправляя сигнал о своей активации ("звонок домой"). Этот домен является ключевым элементом всей преступной инфраструктуры. Анализ показал, что это расширение связано как минимум с шестью другими приложениями, опубликованными через один и тот же фронт разработчика. Два из этих расширений, в отличие от "спящего" аутентификатора, уже несут в себе полностью функционирующую вредоносную нагрузку. Например, расширение "AI Chat to PDF", также доступное в магазине, содержит 241 килобайт встроенного скрипта, который врезается в каждую открытую веб-страницу. Оно использует невидимый iframe (встроенный фрейм нулевого размера) для загрузки контента с сервера управления, что позволяет мошенникам внедрять поддельные платёжные порталы (пейволлы) даже для бесплатных сервисов, таких как Google Gemini, и перехватывать все диалоги пользователя с искусственным интеллектом.

Методы, используемые в этих расширениях, в точности повторяют тактики кампании AiFrame, о которой сообщалось ранее. Злоумышленники используют сложную систему связи через postMessage между внедрённым скриптом и сервером управления (C2), а также хранят на удалённой инфраструктуре так называемые "прокси-хранилища", которые позволяют манипулировать данными в браузере жертвы без её ведома. Особую тревогу вызывает тот факт, что, несмотря на обширные публикации о данной угрозе, инфраструктура злоумышленников продолжает работать, а большинство вредоносных расширений до сих пор доступны для загрузки в Chrome Web Store. Новая волна атак использует свежие домены (appbox[.]space, onlineapp[.]pro), что свидетельствует о том, что предыдущие разоблачения не смогли нарушить операционную деятельность этой группы.

Основная опасность "спящего" расширения-аутентификатора заключается в его целевой аудитории. Злоумышленники нацелились на самых бдительных пользователей - тех, кто использует двухфакторную аутентификацию для защиты своих аккаунтов. Установив такое расширение, пользователь не только не защищает себя, но и передаёт контроль над своими 2FA-ключами в руки атакующих. В любой момент, после активации скрытых механизмов, вредоносная нагрузка сможет перехватывать и подменять коды подтверждения, что сделает любую защиту бесполезной. Кампания AiFrame продолжает эволюционировать, и текущий инцидент служит суровым напоминанием о том, что даже проверенные инструменты безопасности могут оказаться авангардом сложной многоступенчатой атаки, требующей от пользователей и платформ гораздо более строгих мер проверки.

Domains

• ai-chat-to-pdf.com
• api.tapnetic.pro
• appbox.space
• ask-gemini.tapnetic.pro
• asking-chat-gpt.tapnetic.pro
• authenticator.sh
• authenticator.tapnetic.pro
• bard.tapnetic.pro
• chat-ai.tapnetic.pro
• chat-bot-gpt.tapnetic.pro
• chatgbt.tapnetic.pro
• chat-gbt.tapnetic.pro
• chatgpt.tapnetic.pro
• chat-with-gemini.tapnetic.pro
• claude.tapnetic.pro
• deepseek.tapnetic.pro
• deepseek-to-pdf.tapnetic.pro
• gemini.google.tapnetic.pro
• gemini.tapnetic.pro
• grok.tapnetic.pro
• grok-chatbot.tapnetic.pro
• heic-to-jpg.pro
• llama.tapnetic.pro
• onlineapp.live
• onlineapp.pro
• sidenox.stream
• sidentica.app
• softnetica.com
• whitelab.studio
• www.tapnetic.pro
• xai.tapnetic.pro