زنگ خطر برای کاربران مرورگر گوگل؛ کشف ۱۰۸ افزونه مخرب سارق اطلاعات در کروم استور
- گستردگی حمله: شناسایی ۱۰۸ افزونه مخرب که در قالب ابزارهای کاربردی (ترجمه، یوتوب، تلگرام) پنهان شدهاند.
- هدف اصلی مهاجمان: سرقت بیسروصدای توکنهای احراز هویت Google OAuth2 و شنود حسابهای کاربری.
- منشأ حملات: شواهد حاکی از یک شبکه سازمانیافته «بدافزار بهعنوان سرویس» (MaaS) با ریشههای روسی است.
- وضعیت فعلی: بسیاری از این افزونهها با وجود هشدارهای امنیتی، همچنان در فروشگاه رسمی کروم (Chrome Web Store) قابل دانلود هستند.
تیمهای تحقیقاتی امنیت سایبری به تازگی پرده از یک کمپین جاسوسی گسترده در پلتفرم گوگل کروم برداشتهاند. محققان شرکت امنیتی Socket اعلام کردهاند که شبکهای متشکل از ۱۰۸ افزونه (Extension) آلوده در فروشگاه رسمی افزونههای مرورگر کروم کشف شده است. این ابزارهای مخرب با ظاهری فریبنده و کاربردی، در حال سرقت اطلاعات حساس و هویتی کاربران در سطح وسیعی هستند.
تاکتیک فریب؛ پنهان شدن در پشت ابزارهای کاربردی
نقطه قوت این کمپین هکری، تنوع و استتار بینقص آن است. این افزونهها تحت پنج هویت و توسعهدهنده (Publisher) کاملاً متفاوت در استور گوگل ثبت شدهاند. مهاجمان بدافزارهای خود را در قالب ابزارهای محبوبی نظیر مترجمهای آنلاین، دانلودرهای یوتوب (YouTube)، افزونههای تیکتاک (TikTok) و ابزارهای جانبی تلگرام (Telegram) منتشر کردهاند. همین ظاهر مشروع باعث شده تا کاربران بدون کوچکترین شکی، این ابزارهای مخرب را نصب کرده و دسترسیهای لازم را به آنها بدهند.
زیرساخت حملات و شبکه بدافزاری MaaS
بررسیهای عمیقتر نشان میدهد که این حملات یک اقدام پراکنده نیست، بلکه یک عملیات پیچیده سایبری تحت مدل بدافزار بهعنوان سرویس (Malware-as-a-Service) است که گمان میرود توسط گروههای هکری روسزبان مدیریت میشود. هسته مرکزی و فرماندهی (C&C) این کمپین بر روی یک سرور مجازی (VPS) از شرکت میزبان Contabo قرار دارد. این ساختار از زیردامنههای متعددی تشکیل شده که هر یک وظیفه خاصی مانند جمعآوری دادههای هویتی، تزریق تبلیغات پنهان و ارسال دستورات مخرب را بر عهده دارند.
تحلیل فنی بدافزارها و خوشههای حمله
پژوهشگران امنیتی این ۱۰۸ افزونه مخرب را از نظر ساختار کدهای آلوده و رفتار مخرب، به دو گروه (خوشه) اصلی تقسیم کردهاند که در جدول زیر به تفصیل بررسی شده است:
| نام خوشه (گروه) | تعداد افزونهها | مکانیزم نفوذ و تخریب | هدف اصلی حمله |
|---|---|---|---|
| خوشه اول (تزریق کد) | ۷۸ افزونه | سوءاستفاده از ویژگی innerHTML در مرورگر | تزریق مستقیم کدهای HTML مخرب، دستکاری رابط کاربری و اجرای اسکریپتهای پنهان برای فریب کاربر. |
| خوشه دوم (سرقت هویت) | ۵۴ افزونه | سوءاستفاده از API داخلی chrome.identity | سرقت توکنهای دسترسی Google OAuth2 Bearer، استخراج ایمیل، نام و تصویر پروفایل قربانی. |
*نکته: برخی از افزونهها به طور همزمان از هر دو تکنیک برای تخریب و سرقت استفاده میکنند.
تهدیدات بحرانی: از سرقت نشست تلگرام تا تبلیغات تقلبی
سرقت توکنهای موقت OAuth2 به مهاجمان این اجازه را میدهد تا بدون نیاز به رمز عبور، مستقیماً وارد حساب کاربری فرد شوند. اما خطرناکترین بدافزار کشف شده در میان این لیست، افزونهای است که به صورت تخصصی برای شنود پیامرسان تلگرام طراحی شده است. این افزونه قادر است هر ۱۵ ثانیه یکبار نشستهای فعال نسخه وب تلگرام (Telegram Web Sessions) را کپی کرده و به سرور هکرها مخابره کند.
هشدار مهم امنیتی: گزارش شرکت Socket به گوگل ارسال شده است، اما تا لحظه تنظیم این خبر، بسیاری از این افزونههای جاسوسی همچنان در Chrome Web Store برای دانلود در دسترس هستند. توصیه میشود کاربران به فوریت لیست افزونههای نصب شده روی مرورگر خود را بازبینی کرده و موارد مشکوک را به طور کامل حذف نمایند.
