Uma extensão do Chrome comercializada como Freevpn.One, com mais de 100.000 instalações, um crachá verificado e a colocação na loja da Web Chrome, foi exposta como spyware que captura silenciosamente as capturas de tela das atividades de navegação dos usuários e os Exfiltrate a servidores remotos.
Apesar de sua política de privacidade afirmando explicitamente que o desenvolvedor não coleta ou usa dados do usuário, a análise forense revela uma contradição fortada: a extensão se envolve em vigilância persistente, capturando informações sensíveis, como detalhes bancáriosmensagens pessoais e documentos privados sem consentimento ou notificação do usuário.
Técnicas sofisticadas de exfiltração
O comportamento malicioso da extensão aproveita uma arquitetura de dois estágios para captura de captura de tela.
Após a instalação, um script de conteúdo é injetado em todas as páginas HTTP e HTTPS por meio de correspondências amplas de manifesto, desencadeando uma captura automática de 1,1 segundos e retardou o carregamento da página para garantir a renderização completa do conteúdo sensível.
Este script se comunica com o funcionário do serviço de segundo plano, que chama a API Chrome.tabs.captureVisibletab () para gerar capturas de tela, agrupando -as com o URL da página, ID da guia e um identificador de usuário exclusivo antes de transmitir a AITD[.]um/BRANGE.PHP.
Além disso, o recurso “Digitalizar com detecção de ameaças de IA”, apresentado como uma análise local sob demanda, captura capturas de tela de página inteira e as carrega para AITD[.]One/analze.php, embora isso seja apenas uma fachada para a vigilância em andamento.
Na startup, as consultas de extensão APIs de geolocalização IP, coleciona metadados do dispositivo e envia análises codificadas por Base64 para o AITD[.]um/bainit.php.
A versão mais recente (v3.1.4) implementa a criptografia AES-256-GCM com embalagem de chave RSA, ofuscando dados em trânsito e complicando a detecção baseada em rede.
A extensão exige permissões excessivas, incluindo Para acesso universal ao local, as guias para capacidades de captura de tela via CaptureVisBLETAB () e script para injeção dinâmica de JavaScript durante varreduras explícitas.
Essas permissões permitem a exfiltração de altamente dados sensíveiscomo senhas e fotos pessoais, opondo -se diretamente às expectativas de privacidade de uma ferramenta VPN.
O que começou como uma VPN baseada em proxy legítima em versões anteriores evoluiu através de atualizações incrementais: v3.0.3 Introduzido Acesso em abril de 2025, v3.1.1 Scripts de conteúdo expandido e adicionou scripts em junho de 2025 sob o disfarce de aprimoramentos de IA e a v3.1.3 ativou a vigilância total em julho de 2025 após o registro do AITD.One.
A v3.1.4 subsequente mascarou as operações mudando para Scan.aitd.one e aprimorando a criptografia.
As reivindicações do desenvolvedor ficam aquém
O contato com o desenvolvedor provocou defesas, incluindo afirmações de que as capturas automáticas segmentam apenas domínios suspeitos como parte da “varredura em segundo plano”, com planos para o consentimento opt-in em atualizações futuras.
No entanto, os testes confirmaram capturas em sites benignos, como folhas e fotos do Google. As reivindicações de análise transitória sem armazenamento permanecem não verificáveis, pois os dados são exfiltrados a servidores não controlados.
De acordo com o relatórioA afiliação do desenvolvedor aponta para PhoenixSoftsol.com, um site rudimentar do Wix sem detalhes da empresa credível, e as respostas cessaram quando pressionadas por perfis verificáveis.
Esse incidente ressalta as vulnerabilidades no processo de revisão de extensão do Chrome, onde varreduras automatizadas e supervisão humana não detectaram a mudança da funcionalidade benigna da VPN para o spyware, apesar do histórico de cinco anos de integridade de dados de cinco anos da extensão.
Autorizada de pesquisadores de segurança da KOI, essa exposição destaca os riscos de extensões de terceiros não confiáveis em ecossistemas de navegador.
As empresas que dependem de tais ferramentas enfrentam ameaças em escalas, provocando pedidos de plataformas de governança aprimoradas para monitorar e mitigar riscos nos mercados.
Indicador de compromisso (COI)
| Tipo de indicador | Valor |
|---|---|
| Id de extensão | jcbiifklmgnkppebelchllpdbnibiHel |
| Domínio | aitd.One |
| Domínio | ExtraHefty.com |
| Domínio | FREEVPN.ONE |
| Domínio | scan.aitd.One |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!