LayerX ընկերության կիբերանվտանգության մասնագետները հայտնաբերել են մասշտաբային համակարգված գրոհ՝ AiFrame պայմանական անվանմամբ: Չարագործները տարածել են Chrome բրաուզերի համար նախատեսված 30 վնասակար ընդլայնումներ, որոնք քողարկված էին հայտնի ԱԲ-օգնականների տեսքով՝ ChatGPT, Claude, Gemini, Grok և այլն: Ընդհանուր առմամբ, այս ընդլայնումները հավաքել են ավելի քան 260 հազար տեղադրում, հայտնում է LayerX-ի պաշտոնական բլոգը:

Ինչպես էր գործում գրոհը

Բոլոր 30 ընդլայնումները, չնայած Chrome Web Store-ում առկա տարբեր անվանումներին, պատկերակներին և նկարագրություններին, օգտագործում էին նույն կոդային բազան և կառավարվում էին ընդհանուր սերվերային ենթակառուցվածքից: Ամենահայտնին դարձել է AI Assistant անվանմամբ մոդուլը, որը նմանակում էր Claude-ի ինտերֆեյսը և հավաքել էր ավելի քան 50 հազար տեղադրում: Ինչ-որ պահի այն նույնիսկ ստացել էր «Երաշխավորված» կարգավիճակ Chrome-ի խանութում:

Գրոհի հիմնական հնարքը բուն ընդլայնման մեջ վնասակար կոդի իսպառ բացակայությունն էր: Դրա փոխարեն ընդլայնումը հեռակա սերվերից բեռնում էր լիաէկրան iframe: Օգտատերը տեսնում էր ԱԲ-չատբոտի ծանոթ ինտերֆեյսը, բայց փաստացի փոխազդում էր չարագործների կողմից վերահսկվող արտաքին էջի հետ: Նման մոտեցումը թույլ էր տալիս ցանկացած պահի փոխել ֆունկցիոնալությունը, ավելացնել նոր ֆիշինգային սցենարներ կամ հավաքել տվյալներ՝ առանց ընդլայնումը թարմացնելու և խանութում կրկնակի մոդերացիա անցնելու անհրաժեշտության:

Iframe-ի միջոցով հաքերները հասանելիություն էին ստանում՝

• մուտքագրվող գաղտնաբառերին և լոգիններին,
• Gmail-ի և այլ փոստային ծառայությունների բովանդակությանը,
• բրաուզերի պատմությանը, cookies-ներին և վարքագծային տվյալներին:

«Extension spraying»՝ գոյատևման մարտավարություն

Հեռացմանը դիմակայելու համար հեղինակներն օգտագործել են «extension spraying» (ընդլայնումների փոշիացում) ռազմավարությունը: Մեկ մոդուլի արգելափակման դեպքում մնացածները շարունակում էին աշխատել, իսկ դրանց փոխարեն արագորեն հայտնվում էին նոր կլոններ՝ փոփոխված նույնականացուցիչներով: Սա թույլ էր տալիս արշավին ավելի երկար կյանք ունենալ՝ չնայած օգտատերերի բողոքներին և Google-ի գործողություններին:

Սա արդեն երրորդ խոշոր գրոհն է վերջին երեք ամսում

AiFrame-ը դարձավ վերջին երեք ամսվա ընթացքում ԱԲ-ծառայությունների օգտատերերի դեմ ուղղված արդեն երրորդ մասշտաբային արշավը: Ավելի վաղ նմանատիպ սխեմաները՝ կեղծ ընդլայնումների միջոցով, առնչվել էին միլիոնավոր մարդկանց: Հայտնաբերված 30 ընդլայնումների մեծ մասն արդեն հեռացվել է Chrome Web Store-ից, սակայն նրանց մոտ, ովքեր արդեն տեղադրել են դրանք, դրանք կարող են ակտիվ մնալ մինչև ձեռքով հեռացնելը:

Կարճ ասած

LayerX-ը հայտնաբերել է AiFrame արշավը. Chrome-ի 30 վնասակար ընդլայնումներ ԱԲ-օգնականների տեսքով հավաքել են ավելի քան 260 հազար տեղադրում: Դրանք օգտագործում էին հեռակա սերվերի iframe-ը՝ գաղտնաբառերի, Gmail-ի տվյալների գողության և վարքագծի հետևման համար: Սա վերջին երեք ամսում ԱԲ-օգտատերերի վրա երրորդ խոշոր գրոհն է: Ընդլայնումների մեծ մասը հեռացված է խանութից, սակայն օգտատերերին խորհուրդ է տրվում ստուգել և ձեռքով հեռացնել կասկածելի մոդուլները: