تسخیر افزونههای Chrome، با هدف آلوده کردن دستگاه کاربر
همانطور که پیشتر در خبرها داشتیم هفته گذشته شرکت گوگل در ایمیلی، به برنامهنویسانی که افزونههای (Add-on) خود را بر روی Chrome Web Store به اشتراک گذاشتهاند در خصوص اجرای حملات Phishing با هدف در کنترل گرفتن افزونههای توسعه داده شده توسط آنها هشدار داد.
به گزارش شرکت مهندسی شبکه گستر، گردانندگان این حملات پس از دسترسی یافتن به حساب برنامهنویس، اقدام به اضافه نمودن یک بهروزرسانی مخرب به افزونهای که حساب هک شده به آن دسترسی دارد میکنند. با توجه به هک شدن حساب، برنامهنویس اصلی، خود، قادر به حذف بهروزرسانی مخرب نبوده و بنابراین تا زمان رسیدگی بخش امنیت گوگل به موضوع، دستگاه سهم قابل توجهی از کاربران افزونه نیز آلوده میشود.
هفته پیش از آن نیز دو افزونه معروف Copyfish و Web Developer نیز به همین طریق به کنترل مهاجمان این حملات در آمده بودند.
اکنون یکی از محققان شرکت Proofpoint گزارشی را منتشر کرده که بر اساس آن شش افزونه زیر نیز طی چهار ماه گذشته به تسخیر مهاجمان در آمده است.
- Chrometana 1.1.3
- Infinity New Tab 3.12.3
- Web Paint 1.2.1
- Social Fixer 20.1.1
- TouchVPN
- Betternet VPN
بر اساس بررسیهای انجام شده توسط این محقق کد مخرب افزوده شده به افزونه، خرابکاریهای زیر بر روی دستگاه قربانی اعمال میکند:
- انتظار به مدت حداقل 10 دقیقه پس از نصب / بهروزرسانی افزونه
- دریافت یک فایل JavaScript از سرور فرماندهی
- جمعآوری اطلاعات اصالتسنجی Cloudflare در مرورگر کاربر- تزریق تبلیغات در سایتهای مجاز فراخوانی شده بر روی دستگاه
- تزریق کد پس از دریافت محتوای سایت و صرفاً بر روی دستگاه کاربر انجام میشود.
- هدایت کاربر به سایتهای مورد نظر مهاجمان از طریق نمایش پنجرههای هشدار بالاپر (Pop-up)
برخی کارشناسان معتقدند جمعآوری اطلاعات اصالتسنجی Cloudflare میتواند نشانهای از اجرای حملات گسترده بر ضد مشتریان این شرکت آمریکایی در آیندهای نزدیک باشد.