Source: LayerX — Publication de recherche détaillant une campagne d’extensions Chrome malveillantes se faisant passer pour des assistants IA grand public et des outils Gmail.
🚨 Des chercheurs de LayerX ont mis au jour une campagne coordonnée impliquant 30 extensions Chrome (dont certaines « Featured » sur le Chrome Web Store) usurpant Claude, ChatGPT, Gemini, Grok et divers outils « AI Gmail ». Ces extensions partagent le même code, les mêmes permissions et la même infrastructure backend (tapnetic[.]pro), totalisant 260 000+ installations. Leur architecture délègue les fonctions clés à des iframes distantes contrôlées côté serveur, permettant de modifier le comportement sans mise à jour du Store.
Points techniques clés:
- IFrame distant en plein écran (ex. claude.tapnetic.pro) servant d’UI principale, agissant comme proxy privilégié vers les capacités sensibles du navigateur.
- Extraction de contenu de page via un script de contenu utilisant la bibliothèque Readability (titres, texte, métadonnées) et renvoi au serveur distant.
- Reconnaissance vocale déclenchée à la demande (Web Speech API) avec transcription renvoyée au contrôleur distant.
- Télémétrie via pixels de suivi (installation/désinstallation) vers un endpoint analytics tiers.
- Cible Gmail (15 extensions): script dédié injecté à document_start sur mail.google.com, lecture du contenu des emails depuis le DOM (threads, brouillons/composition selon l’état) et transmission au backend tiers lors des fonctions d’assistance (réponse/synthèse IA).
Infrastructure et évasion:
- C2 tapnetic[.]pro: site vitrine non fonctionnel servant de couverture, avec sous-domaines dédiés par extension/marque (Claude, ChatGPT, Gemini, etc.) pour la segmentation et la rotation rapide.
- Extension spraying: après retrait d’un ID (fppbiomdkfbhgjjdmojlogeceejinadg, 06/02/2025), republication identique sous un nouvel ID (gghdfkafnhfpaooiolhncejnlgglhkhe, 20/02/2025) avec le même code, permissions, iframes et C2.
IOCs (extraits):
- Domaines:
- tapnetic[.]pro
- onlineapp[.]pro
- Extensions (ID — Nom — Installations):
- nlhpidbjmmffhoogcennoiopekbiglbp — AI Assistant — 50 000
- gcfianbpjcfkafpiadmheejkokcmdkjl — Llama — 147
- fppbiomdkfbhgjjdmojlogeceejinadg — Gemini AI Sidebar — 80 000
- djhjckkfgancelbmgcamjimgphaphjdl — AI Sidebar — 9 000
- llojfncgbabajmdglnkbhmiebiinohek — ChatGPT Sidebar — 10 000
- gghdfkafnhfpaooiolhncejnlgglhkhe — AI Sidebar — 50 000
- cgmmcoandmabammnhfnjcakdeejbfimn — Grok — 261
- phiphcloddhmndjbdedgfbglhpkjcffh — Asking Chat Gpt — 396
- pgfibniplgcnccdnkhblpmmlfodijppg — ChatGBT — 1 000
- nkgbfengofophpmonladgaldioelckbe — Chat Bot GPT — 426
- gcdfailafdfjbailcdcbjmeginhncjkb — Grok Chatbot — 225
- ebmmjmakencgmgoijdfnbailknaaiffh — Chat With Gemini — 760
- baonbjckakcpgliaafcodddkoednpjgf — XAI — 138
- fdlagfnfaheppaigholhoojabfaapnhb — Google Gemini — 7 000
- gnaekhndaddbimfllbgmecjijbbfpabc — Ask Gemini — 1 000
- hgnjolbjpjmhepcbjgeeallnamkjnfgi — AI Letter Generator — 129
- lodlcpnbppgipaimgbjgniokjcnpiiad — AI Message Generator — 24
- cmpmhhjahlioglkleiofbjodhhiejhei — AI Translator — 194
- bilfflcophfehljhpnklmcelkoiffapb — AI For Translation — 91
- cicjlpmjmimeoempffghfglndokjihhn — AI Cover Letter Generator — 27
- ckneindgfbjnbbiggcmnjeofelhflhaj — AI Image Generator Chat GPT — 249
- dbclhjpifdfkofnmjfpheiondafpkoed — Ai Wallpaper Generator — 289
- ecikmpoikkcelnakpgaeplcjoickgacj — Ai Picture Generator — 813
- kepibgehhljlecgaeihhnmibnmikbnga — DeepSeek Download — 275
- ckicoadchmmndbakbokhapncehanaeni — AI Email Writer — 64
- fnjinbdmidgjkpmlihcginjipjaoapol — Email Generator AI — 881
- gohgeedemmaohocbaccllpkabadoogpl — DeepSeek Chat — 1 000
- flnecpdpbhdblkpnegekobahlijbmfok — ChatGPT Picture Generator — 251
- acaeafediijmccnjlokgcdiojiljfpbe — ChatGPT Translate — 30 000
- kblengdlefjpjkekanpoidgoghdngdgl — AI GPT — 20 000
- idhknpoceajhnjokpnbicildeoligdgh — ChatGPT Translation — 1 000
- fpmkabpaklbhbhegegapfkenkmpipick — Chat GPT for Gmail — 1 000
- Emails associés:
- tapnetic307@gmail.com; tapnetic.space@gmail.com; airtronics307@gmail.com; convertheic2jpg@gmail.com; airnetic.space@gmail.com; ai.technetic@gmail.com; fontfindertool1@gmail.com; hockwatson@gmail.com; samgoogins2@gmail.com; imageconvertertool@gmail.com; softnetica.space@gmail.com; chatbotgpttool@gmail.com; jamesjamesliam123890@gmail.com; giftopngconverter@gmail.com; jackovichjack258@gmail.com; ailettergenerator@gmail.com; aitoolsikonnikov@gmail.com; jamesjamesliam123890@gmail.com; tedlasso693@gmail.com; hartbob242@gmail.com; aliceking0400@gmail.com; kickshot03@gmail.com; johnrick7667@gmail.com; jackyjames854@gmail.com; redactpdf@gmail.com; deli789ch@gmail.com; jimmy.green568@gmail.com; serhongyvtg@gmail.com; maxxfreeman606@gmail.com
TTPs (MITRE/LayerX):
- Resource Development — LX2.003 (T1583) Acquire Infrastructure
- Initial Access — LX3.004 (T1189) Drive-by Compromise
- Initial Access — LX3.003 (T1199) Trusted Relationship
- Execution — LX4.003 Script Execution
- Defense Evasion — LX7.011 (T1036) Masquerading
- Credential Access — LX8.007 (T1557) Adversary-in-the-Middle
- Collection — LX10.012 Web Communication Data Collection
- Collection — LX10.005 Collect User’s Information
- Command and Control — LX11.004 Establish Network Connection
- Command and Control — LX11.005 Web Service-Based C2
- Exfiltration — LX12.001 Data Exfiltration
Conclusion: Il s’agit d’une publication de recherche exposant une campagne d’extensions malveillantes abusant d’iframes distantes et d’une infrastructure C2 unifiée pour la collecte et l’exfiltration de données, assortie d’IOCs et TTPs détaillés.
🔗 Source originale : https://layerxsecurity.com/blog/aiframe-fake-ai-assistant-extensions-targeting-260000-chrome-users-via-injected-iframes/