Összesen több mint 300 000-szer töltötték le a felhasználók azt a 30 veszélyes Chrome-bővítményt, amelyek többsége valamilyen AI-asszisztensnek adta ki magát – írja a hvg.hu. A kiegészítők azonban csak látszólag voltak ilyen eszközök: valójában a hitelesítő adatok, a böngészési információk, valamint az e-mailek tartalmának ellopására voltak kihegyezve. A problémás bővítmények egy része még mindig elérhető a Chrome Webáruház kínálatában, és már ezek is több tízezer letöltéssel bírnak.

A problémát a LayerX nevű böngészőbiztonsági platform kutatói fedezték fel, és az AiFrame nevet adták a rosszindulatú kampánynak. Megállapításaik szerint az összes elemzett bővítmény ugyanazon rosszindulatú tevékenység része, mivel egyazon domainen keresztül kommunikálnak a mögöttes infrastruktúrával. A kampány legnépszerűbb bővítménye a Gemini AI Sidebar volt, melynek semmi köze a Google-eszközhöz, mégis több mint 80 ezer letöltést gyűjtött össze, de már nem elérhető a Chrome Webáruházban.

Sok bővítmény még mindig letölthető, noha ezek neve kismértékben eltérő lehet:

• AI Sidebar – 70 000 felhasználó
• AI Assistant – 60 000 felhasználó
• ChatGPT Translate –30 000 felhasználó
• AI GPT – 20 000 felhasználó
• ChatGPT – 20 000 felhasználó
• AI Sidebar – 10 000 felhasználó
• Google Gemini – 10 000 felhasználó

A kártékony bővítmények nem helyben futtatják az AI-funkciókat, hanem egy távoli domainről töltik be őket. A veszélyes tevékenység a háttérben zajlik, és arra irányul, hogy minél több érzékeny adatot nyerjenek ki a böngészési tevékenységből – ide értve a belépési adatokat is. A fertőzött bővítmények egy csoportja kimondottan a Gmailből próbált leveleket ellopni.