Ekstenzija za Google Chrome postala zlonamjerna nakon prenosa vlasništva

Ekstenzije o kojima je riječ, koje su prvobitno bile povezane sa programerom pod imenom „akshayanuonline@gmail.com“ (BuildMelon), navedene su u nastavku:

QuickLens – pretraživanje ekrana pomoću Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7.000 korisnika

ShotBird – skrolujući snimci ekrana, slike sa X (Twitter) i uređivač (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 korisnika

Dok QuickLens više nije dostupan za preuzimanje sa prodavnice ekstenzija za Google Chrome, ShotBird je i dalje dostupan u trenutku pisanja teksta. ShotBird je prvobitno pokrenut u novembru 2024. godine, a njegov programer Akšaj Anu S (@AkshayAnuOnline) naveo je na platformi X (Twitter) da je ekstenzija pogodna za „kreiranje profesionalnih, studijskih vizuelnih prikaza“, te da se sva obrada podataka obavlja lokalno.

Promjena vlasnika

Prema istraživanju koje je objavio monxresearch-sec, dodatak za pregledač dobio je oznaku „Featured“ u januaru 2025. godine, nakon čega je prošle mjesece prebačen drugom programeru („loraprice198865@gmail.com“).

Slično tome, QuickLens je stavljen na prodaju na platformi ExtensionHub 11. oktobra 2025. godine od strane „akshayanuonline@gmail.com“, svega dva dana nakon što je objavljen, naveo je Džon Takner iz Annex Security. Dana 1. februara 2026. godine vlasnik ekstenzije promijenjen je u „support@doodlebuggle.top“ na stranici u prodavnici ekstenzija za Google Chrome.

Zadržali funkcionalnost i ubacili virus

Zlonamjerno ažuriranje uvedeno u QuickLens 17. februara 2026. godine zadržalo je originalnu funkcionalnost, ali je uvelo mogućnost uklanjanja bezbjednosnih zaglavlja (na primjer X-Frame-Options) iz svakog HTTP odgovora. To omogućava zlonamjernim skriptama ubrizganim u veb-stranicu da šalju proizvoljne zahtjeve ka drugim domenima, zaobilazeći zaštitu politike bezbjednosti sadržaja (Content Security Policy – CSP).

Pored toga, ekstenzija je sadržala kod koji omogućava takozvani „fingerprinting“ korisnika — utvrđivanje države iz koje dolazi korisnik, detekciju pregledača i operativnog sistema, kao i komunikaciju sa spoljnim serverom svakih pet minuta radi preuzimanja JavaScript koda. Taj kod se čuva u lokalnoj memoriji pregledača i izvršava prilikom svakog učitavanja stranice dodavanjem skrivenog 1×1 GIF elementa <img>, pri čemu se niz sa JavaScript kodom postavlja kao njegov „onload“ atribut. Kada se slika učita, zlonamjerni kod se automatski izvršava.

Kako napada?

„Pravi zlonamjerni kod se nikada ne pojavljuje u izvornim fajlovima ekstenzije“, objasnio je Takner. „Statička analiza pokazuje samo funkciju koja kreira elemente slike. To je sve. Zlonamjerni sadržaj se isporučuje sa komandno-kontrolnog servera (C2) i čuva u lokalnoj memoriji — postoji samo tokom izvršavanja.“

Slična analiza ekstenzije ShotBird, koju je sproveo monxresearch-sec, otkrila je upotrebu direktnih povratnih poziva (callback) za isporuku JavaScript koda, umjesto kreiranja 1×1 pikselske slike radi pokretanja izvršavanja. Taj kod je osmišljen tako da prikazuje lažni prozor za ažuriranje pregledača Google Chrome. Kada korisnik klikne na njega, preusmjerava se na stranicu u stilu ClickFix-a koja ga navodi da otvori dijalog „Run“ u operativnom sistemu Microsoft Windows, pokrene „cmd.exe“ i nalepi PowerShell komandu. To dovodi do preuzimanja izvršnog fajla „googleupdate.exe“ na računarima sa sistemom Microsoft Windows.

Malver zatim presreće unos u HTML elementima input, textarea i select i snima sve podatke koje žrtva unese. To može uključivati korisnička imena i lozinke, PIN-ove, podatke o platnim karticama, tokene i državne identifikacione brojeve. Takođe može izvlačiti podatke pohranjene u pregledaču Google Chrome, poput lozinki, istorije pregledanja i informacija o instaliranim ekstenzijama.

„Ovo je dvostepeni lanac zloupotrebe: daljinska kontrola pregledača preko ekstenzije, uz prelaz na izvršavanje koda na samom računaru putem lažnih ažuriranja“, naveo je istraživač. „Rezultat je visok rizik od izlaganja podataka unutar pregledača i potvrđeno izvršavanje skripti na sistemu bar na jednom pogođenom računaru. U praksi to znači da se uticaj povećava sa zloupotrebe pregledača na moguću krađu akreditiva i šire kompromitovanje sistema.“

Procjenjuje se da iza kompromitovanja ove dvije ekstenzije stoji isti akter prijetnje, koji ih koristi paralelno, jer se uočava identična arhitektura komandno-kontrolnih servera, isti ClickFix mehanizam unutar pregledačkog okruženja i prenos vlasništva kao vektor infekcije.

Vlasnici imaju više dodataka

Zanimljivo je da je originalni programer ekstenzija objavio više drugih dodataka pod svojim imenom u prodavnici ekstenzija za Google Chrome, a svi su dobili oznaku „Featured“. Programer ima i nalog na platformi ExtensionHub, iako se trenutno nijedna ekstenzija ne nudi na prodaju. Pored toga, ta osoba je pokušala prodati domene poput „AIInfraStack.com“ za 2.500 dolara, navodeći da je riječ o „jakom domenu sa ključnim riječima“ relevantnom za brzo rastući ekosistem vještačke inteligencije.

„Ovo je suština problema u lancu snabdijevanja ekstenzijama“, navela je kompanija Annex Security. „Provjerena i funkcionalna ekstenzija sa oznakom ‘Featured’ promijeni vlasnika, a novi vlasnik zatim šalje zlonamjerno ažuriranje svim postojećim korisnicima.“

Ovo otkriće dolazi u trenutku kada je Microsoft upozorio na zlonamjerne ekstenzije za pregledače zasnovane na projektu Chromium koje se predstavljaju kao legitimni alati-asistenti zasnovani na vještačkoj inteligenciji kako bi prikupljale istoriju razgovora sa velikim jezičkim modelima i podatke o pregledanju.

„U velikom obimu, ova aktivnost pretvara naizgled pouzdanu ekstenziju za produktivnost u trajni mehanizam za prikupljanje podataka ugrađen u svakodnevno korišćenje pregledača u kompanijama“, naveo je istraživački tim Microsoft Defender Security Research Team.

U posljednjim sedmicama istraživači su ukazali i na zlonamjernu ekstenziju za Google Chrome pod nazivom lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi), koja se lažno predstavlja kao novčanik imToken i oglašava kao alat za prikaz heksadecimalnih boja u prodavnici ekstenzija, dok u stvarnosti krade kriptovalutne „seed phrase“ fraze putem fišing preusmjeravanja.

„Umjesto da ponudi bezazleni alat koji obećava, ekstenzija automatski otvara fišing stranicu pod kontrolom napadača čim se instalira, a zatim ponovo svaki put kada korisnik klikne na nju“, naveo je istraživač kompanije Socket Kiril Bojčenko.

„Prilikom instalacije, ekstenzija preuzima odredišni URL sa unaprijed definisanog JSONKeeper servera i otvara karticu koja vodi ka domenu nalik prodavnici ekstenzija za Google Chrome. Stranica imitira novčanik imToken i usmjerava žrtve ka formama za unos akreditiva koje traže seed frazu od 12 ili 24 riječi ili privatni ključ.“

Druge zlonamjerne ekstenzije koje je identifikovala istraživačka jedinica Unit 42 kompanije Palo Alto Networks koristile su tehnike preuzimanja partnerskih provizija (affiliate hijacking) i iznošenja podataka. Jedna od njih — Chrome MCP Server – AI Browser Control — funkcioniše kao potpuni trojanski program za daljinski pristup, dok se predstavlja kao alat za automatizaciju zasnovan na protokolu Model Context Protocol (MCP).

Istraživači Unit 42 otkrili su i da su tri popularne ekstenzije — Urban VPN Proxy, Urban Browser Guard i Urban Ad Blocker — ponovo dostupne u prodavnici ekstenzija za Google Chrome, nakon što su ranije uklonjene jer su prikupljale razgovore sa više čet-botova, uključujući ChatGPT, Claude, Microsoft Copilot, DeepSeek, Google Gemini, Grok, Meta AI i Perplexity.

„Nakon javnog otkrivanja kampanje 15. decembra 2025. godine, programer je u januaru 2026. godine objavio bezopasne verzije, vjerovatno kao odgovor na izvještaj“, naveli su istraživači.

Kompanija za sajber-bezbjednost takođe je identifikovala ekstenziju Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), koja ima više od 100.000 korisnika i čija je prethodna verzija komunicirala sa poznatim mrežnim indikatorima povezanim sa kampanjom RedDirection radi preuzimanja kontrole nad pregledačem (browser hijacking).

Osim toga, nova kampanja koja obuhvata više od 30.000 domena koristi lanac preusmjeravanja kako bi usmjerila saobraćaj ka stranici „ansiblealgorithm.com“, koja služi za distribuciju ekstenzije OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

Ekstenzija koristi API chrome_settings_overrides kako bi mijenjala postavke Google Chrome, postavljajući početnu stranicu pregledača na omnibar.ai i podešavajući podrazumjevani pretraživač na prilagođeni URL koji prati korisničke upite.

Vjeruje se da je krajnji cilj ove aktivnosti preuzimanje kontrole nad pregledačem u okviru velike šeme partnerskog marketinga, naveli su istraživači Unit 42, dodajući da su identifikovane još dvije ekstenzije sa istim ponašanjem — AI Output Algo Tool i Serpey.com official extension.

Dublja analiza tri dodatne ekstenzije istog programera („jon@status77.com“, odnosno Status 77) pokazala je da dvije od njih prate aktivnosti pregledanja korisnika kako bi ubacivale partnerske oznake, dok treća izvlači i šalje komentare korisnika sa platforme Reddit ka API serveru pod kontrolom programera:

• Care.Sale
• Giant Coupons Official Extension
• Consensus – Reddit Comment Summarizer

Korisnicima koji su instalirali bilo koju od navedenih ekstenzija savjetuje se da ih odmah uklone iz pregledača, izbjegavaju ručno instaliranje neprovjerenih ekstenzija i provjere da li u pregledaču postoje nepoznati dodaci te ih deinstaliraju.

(The Hacker News)