کشف بیش از ۱۰۰ افزونه مخرب در کروم؛ سرقت اطلاعات کاربران با یک کمپین سازمان‌یافته

کارشناسان امنیت سایبری اخیراً از شناسایی ۱۰۸ افزونه مخرب در فروشگاه رسمی Chrome Web Store خبر داده‌اند؛ افزونه‌هایی که در قالب یک کمپین هدفمند طراحی شده‌اند تا اطلاعات حساس کاربران از جمله توکن‌های Google OAuth2 را سرقت کنند. گزارش‌ها نشان می‌دهد با وجود هشدارهای امنیتی، بسیاری از این افزونه‌ها همچنان در فروشگاه کروم قابل دسترسی هستند.

بررسی‌های انجام‌شده توسط شرکت امنیتی Socket بیان می‌کند که این افزونه‌ها تحت پنج ناشر مختلف و در دسته‌بندی‌هایی متنوع منتشر شده‌اند؛ از ابزارهای مرتبط با تلگرام، یوتوب و تیک‌تاک گرفته تا افزونه‌های ساده‌ای مانند مترجم متن. همین تنوع ظاهری باعث شده این افزونه‌ها بی‌خطر به‌نظر برسند و تعداد قابل‌توجهی از کاربران را فریب دهند.

تحقیقات همچنین نشان می‌دهد این عملیات احتمالاً در چارچوب یک مدل بدافزار به‌عنوان سرویس (MaaS) با منشأ روسی اجرا می‌شود.

ساختار فنی کمپین مخرب

طبق گزارش‌ها، فعالیت این شبکه به یک بک‌اند مرکزی وابسته است که روی سرور VPS شرکت Contabo میزبانی می‌شود. این زیرساخت شامل چندین زیردامنه است که وظایفی مانند جمع‌آوری اطلاعات هویتی، اجرای دستورات مهاجم و حتی درآمدزایی از طریق تبلیغات جعلی را برعهده دارند.

بزرگ‌ترین بخش از این کمپین، مجموعه‌ای شامل ۷۸ افزونه است که با سوءاستفاده از ویژگی innerHTML، کد HTML مخرب را مستقیماً در رابط کاربری کروم تزریق می‌کنند. این روش به مهاجمان امکان می‌دهد محتوای صفحه را دستکاری کنند، کدهای مخرب اجرا کنند و کاربران را فریب دهند.

گروه دوم شامل ۵۴ افزونه است که از API موسوم به chrome.identity.getAuthToken برای جمع‌آوری اطلاعاتی همچون نام، ایمیل، تصویر پروفایل و شناسه حساب گوگل کاربران استفاده می‌کنند. این افزونه‌ها علاوه‌بر دسترسی به داده‌های هویتی، قادر به سرقت توکن‌های کوتاه‌مدت Google OAuth2 نیز هستند؛ توکن‌هایی که می‌توانند به مهاجم امکان دهند به‌جای کاربر وارد حساب‌ها شده و اقدامات مختلفی انجام دهد.

خطرناک‌ترین افزونه شناسایی‌شده

در میان این افزونه‌های آلوده، پژوهشگران یک مورد را به‌عنوان بزرگ‌ترین تهدید امنیتی معرفی کرده‌اند؛ افزونه‌ای که هر ۱۵ ثانیه نشست‌های کاربر در Telegram Web را استخراج کرده و به سرور مهاجم ارسال می‌کند. همچنین سه افزونه دیگر نیز شناسایی شده‌اند که تبلیغات مخرب را در محیط یوتوب و تیک‌تاک تزریق می‌کنند.

با وجود اعلام این یافته‌ها به گوگل، شرکت Socket هشدار داده است که تا زمان انتشار گزارش، تمام این افزونه‌های مخرب هنوز در Chrome Web Store موجود بوده‌اند و کاربران باید با احتیاط بیشتری افزونه‌های مرورگر خود را انتخاب و نصب کنند.

توجه: محتوای این مقاله رونوشتی از سایت‌های داخلی است و به دلیل عدم دسترسی به اینترنت جهانی امکان تایید یا رد محتوای آن را نداریم!