پژوهشگران امنیتی یک کمپین گسترده بدافزاری را شناسایی کردهاند که از طریق افزونههای شناختهشده و پرکاربرد مرورگرهای Chrome و Edge، میلیونها کاربر را هدف قرار داده است. در ادامه با معرفی این افزونهها همراه ما باشید.
به گزارش وبسایت TechSpot، یک گروه هکری چینی به نامShadyPanda موفق شده است کدهای مخرب را در بهروزرسانیهای ظاهراً عادی افزونههای مرورگرها تزریق کند و از اعتماد میلیونها کاربر سوءاستفاده کند. این اقدام در نهایت منجر به آلودهشدن میلیونها کامپیوتر در سراسر دنیا به جاسوسافزاری شد که دادههای کاربران را در لحظه سرقت میکند.
افزونههای محبوب کروم و اج، آلوده شدهاند
پژوهشگران شرکت امنیت سایبری Koi، یک کمپین بدافزاری پیچیده را کشف کردهاند که از طریق افزونههای مرورگر در Chrome Web Store و وبسایت افزونههای Microsoft Edge میلیونها کامپیوتر را آلوده کرده است.
این افزونهها ابتدا برنامههایی کاملاً سالم و معتبر بودند، اما سال گذشته با بهروزرسانیهایی حاوی کدهای مخرب، ماهیتشان تغییر کرد و اکنون به عنوان افزونههای آلوده شناخته میشوند.
افزونههایی که بعد از ۵ سال تغییر ماهیت دادند
به گزارش این شرکت امنیت سایبر، در نخستین عملیات، حداقل پنج افزونه دخیل بودهاند که حدود پنج سال بدون مشکل کار میکردند و سپس به بدافزار تبدیل شدند.
یکی از آنها، افزونه Clean Master برای پاکسازی کش، بیش از ۲۰۰ هزار کاربر داشت و حتی نشان Featured و Verified را هم از Chrome Web Store دریافت کرده بود، تا اینکه گوگل آن را از فروشگاه مربوطه حذف کرد.
افزونههای فعال با بیش از ۴ میلیون نصب
در ادامه گزارش این شرکت، به عملیات دوم این گروه هکری چینی اشاره شده است. در این عملیات، پنج افزونه دیگر دخیل هستند، از جمله افزونه مدیریت تبها با نام WeTab که بیش از سه میلیون نصب دارد.
لیست افزونههای مخرب و توصیه به کاربران
شرکت Koi فهرست کاملی از شناسههای افزونههای Chrome و Edge مرتبط با این حملات منتشر کرده که توصیه به حذف فوری آنها کرده است:
- Clean Master: the best Chrome Cache Cleaner
- Speedtest Pro-Free Online Internet Speed Test
- BlockSite
- Address bar search engine switcher
- SafeSwift New Tab
- Infinity V+ New Tab
- OneTab Plus:Tab Manage & Productivity
- WeTab 新标签页
- Infinity New Tab for Mobile
- Infinity New Tab (Pro)
- Infinity New Tab
- Dream Afar New Tab
- Download Manager Pro
- Galaxy Theme Wallpaper HD 4k HomePage
- Halo 4K Wallpaper HD HomePage
تزریق بدافزار بهعنوان جاسوسافزار در سال ۲۰۲۴
به گزارش شرکت Koi، تزریق کدهای مخرب به این افزونهها در سال ۲۰۲۴ انجام شده و از آن زمان تا کنون دادههای وبگردی کاربران را بهطور مخفیانه جمعآوری و در لحظه به سرورهایی در چین ارسال میکردند.
روش حمله: اجرای کد از راه دور
پژوهشگران در ادامه توضیح دادند که این افزونههای آلوده مانند یک چارچوب اجرای کد از راه دور عمل میکردند و بهطور خودکار اسکریپتهای JavaScript را بدون رضایت کاربر دانلود و اجرا میکردند. پژوهشگران تخمین زدهاند که بیش از ۴.۳ میلیون دستگاه از طریق این افزونهها آلوده شده باشند.
آموزش حذف افزونههای مشکوک
برای حذف افزونه، مرورگر را باز کنید و به آدرس chrome://extensions یا edge://extensions بروید. سپس برای افزونه مورد نظر، روی گزینه Remove کلیک کرده و حذف را تأیید کنید.
سابقه گروه ShadyPanda و عملیاتهای آنها
بر اساس اطلاعات منتشر شده، گروه ShadyPanda اولین حمله شناختهشده خود را در سال ۲۰۲۳ انجام داد، اما طبق گزارشها، این گروه حداقل از سال ۲۰۱۸ فعال بوده است.
نخستین حمله بزرگ آنها مربوط به کلاهبرداری وابسته یا همان Affiliate Fraud بود؛ جایی که برنامههای مخرب با واردکردن کدهای رهگیری، اطلاعات خرید کاربران را جمعآوری میکردند.
هکرها سپس عملیات خود را گسترش دادند و با انتشار بهروزرسانیهای مخرب برای افزونههای موجود، از شناسایی فرار کردند. بنا به گفته محققان، دلیل این موضوع این است که گوگل بهروزرسانیهای افزونههای موجود را به اندازه افزونههای جدید بررسی نمیکند.
در همین رابطه بخوانید:
– ایسوس هک شد؟ گروه Everest ادعای سنگینی مطرح کرد
– به لطف امنیت بالای واتساپ شماره تلفن و عکس پروفایل 3.5 میلیارد کاربر در دسترس قرار گرفت!
در نهایت باید گفت این حادثه نشان میدهد که حتی محبوبترین و قابلاعتمادترین افزونهها نیز میتوانند به ابزار جاسوسی تبدیل شوند. سهلانگاری در بررسی بهروزرسانیها، فرصت بزرگی برای هکرها ایجاد کرده تا از اعتماد کاربران سوءاستفاده کنند. شهرسختافزار پیشنهاد میکند که فهرست افزونههای نصبشده خود را بررسی کنید و تنها از منابع معتبر و توسعهدهندگان شناختهشده استفاده نمایید.
