انتشار شده در تاریخ 1404/04/18 - 09:10

کشف افزونه‌های مخرب کروم در فروشگاه‌های وب

به گفته محققان، افزونه‌های مخرب کروم با ۱.۷ میلیون نصب در فروشگاه وب پیدا شدند.

به گزارش کارگروه امنیت سایبربان؛ تقریباً 12 افزونه مخرب با ۱.۷ میلیون دانلود در فروشگاه وب کروم گوگل می‌توانند کاربران را ردیابی کنند، فعالیت مرورگر را بدزدند و به آدرس‌های وب بالقوه ناامن هدایت کنند.

بیشتر افزونه‌ها قابلیت‌های تبلیغ‌شده را ارائه می‌دهند و خود را به عنوان ابزارهای قانونی مانند انتخاب‌کننده‌های رنگ، وی‌پی‌ان‌ها، تقویت‌کننده‌های صدا و صفحه‌کلیدهای ایموجی جا می‌زنند.

محققان «Koi Security»، شرکتی که بستری برای نرم‌افزارهای امنیتی خود-ارائه‌شده ارائه می‌دهد، افزونه‌های مخرب را در فروشگاه وب کروم کشف و آنها را به گوگل گزارش کردند.

برخی از این افزونه‌ها دیگر وجود ندارند، اما بسیاری از آنها همچنان در دسترس هستند؛ بسیاری از این افزونه‌ها تأیید شده‌اند، صدها نقد مثبت دارند و به‌طور برجسته در فروشگاه وب کروم نمایش داده می‌شوند و کاربران را در مورد ایمنی خود گمراه می‌کنند.

کاربران باید افزونه‌های زیر را در مرورگر کروم بررسی و در اسرع وقت آنها را حذف کنند:

• انتخابگر رنگ، قطره‌چکان - انتخابگر رنگ «Geco»
• صفحه کلید ایموجی آنلاین، ایموجی خود را کپی و جای‌گذاری کنید
• پیش‌بینی آب و هوای رایگان
• کنترل‌کننده سرعت ویدیو، مدیر ویدیو
• باز کردن قفل دیسکورد (Discord)، پروکسی وی‌پی‌ان برای باز کردن «Discord Anywhere»
• تم تاریک، خواننده تاریک برای کروم
• حداکثر صدا، تقویت‌کننده نهایی صدا
• باز کردن قفل تیک‌تاک، دسترسی یکپارچه با پروکسی یک کلیک
• باز کردن قفل «YouTube VPN»
• باز کردن قفل تیک‌تاک
• آب و هوا

یکی از آنها، «حداکثر صدا - تقویت‌کننده نهایی صدا»، ماه گذشته توسط محققان «LayerX» نیز علامت‌گذاری شده بود که در مورد پتانسیل آن برای جاسوسی از کاربران هشدار دادند؛ اما در آن زمان هیچ فعالیت مخربی قابل تأیید نبود.

به گفته محققان، عملکرد مخرب در سرویس ورکر پس‌زمینه هر افزونه با استفاده از «API» افزونه‌های کروم پیاده‌سازی می‌شود و یک شنونده را ثبت می‌کند که هر بار کاربر به یک صفحه وب جدید می‌رود، فعال می‌شود.

شنونده، آدرس اینترنتی صفحه بازدید شده را دریافت و اطلاعات را به همراه یک شناسه ردیابی منحصر به فرد برای هر کاربر به یک سرور راه دور ارسال می‌کند.

سرور می‌تواند با آدرس‌های اینترنتی تغییر مسیر پاسخ دهد، فعالیت مرور کاربر را ربوده و به طور بالقوه آنها را به مقاصد ناامنی هدایت کند که ممکن است حملات سایبری را فعال کنند.

اگرچه این احتمال وجود دارد، اما باید توجه داشت که Koi Security در آزمایش‌های خود تغییر مسیرهای مخرب را مشاهده نکرده است.

علاوه بر این، کد مخرب در نسخه‌های اولیه افزونه‌ها وجود نداشت، اما بعداً از طریق به‌روزرسانی‌ها معرفی شد.

سیستم به‌روزرسانی خودکار گوگل، جدیدترین نسخه‌ها را بدون نیاز به تأیید یا تعامل کاربر، بی‌سروصدا برای کاربران منتشر کرد.

با توجه به اینکه برخی از این افزونه‌ها سال‌ها ایمن بوده‌اند، این احتمال وجود دارد که توسط عوامل خارجی که کد مخرب را معرفی کرده‌اند، ربوده شده/به خطر افتاده باشند.

پیشتر، محققان Koi Security کشف کردند که مجرمان سایبری افزونه‌های مخربی را در فروشگاه رسمی مایکروسافت اج نیز قرار داده‌اند که تعداد کل دانلودها را 600 هزار نشان می‌دهد.

محققان اظهار داشتند:

«روی هم رفته، این 18 افزونه بیش از ۲.۳ میلیون کاربر را در هر 2 مرورگر آلوده کرده‌اند و یکی از بزرگ‌ترین عملیات‌های سرقت مرورگر را ایجاد کرده‌اند که ما ثبت کرده‌ایم.»

کارشناسان به کاربران توصیه کردند که فوراً همه افزونه‌های فهرست‌شده را حذف، داده‌های مرور را برای حذف هرگونه شناسه ردیابی پاک و سیستم را از نظر بدافزار بررسی کنند و حساب‌ها را برای فعالیت‌های مشکوک زیر نظر بگیرند.