افزونه‌های مخرب Chrome با جعل نام Fortinet، YouTube و VPNها اقدام به سرقت داده‌ها می‌کنند.

سجاد تیموری ارسال به ایمیل 2 ساعت پیشآخرین بروزرسانی: خرداد ۶, ۱۴۰۴
۰ 0 زمان تقریبی مطالعه 3 دقیقه
افزونه‌های مخرب Chrome با جعل نام Fortinet، YouTube و VPNها اقدام به سرقت داده‌ها می‌کنند.
افزونه‌های مخرب Chrome با جعل نام Fortinet، YouTube و VPNها اقدام به سرقت داده‌ها می‌کنند.

کارزار جدیدی در فروشگاه افزونه‌های مرورگر Google Chrome Web Store شناسایی شده است که شامل بیش از ۱۰۰ افزونه مخرب است. این افزونه‌ها با جعل هویت ابزارهای معتبر مانند VPNها، دستیارهای هوش مصنوعی و ابزارهای رمزارزی طراحی شده‌اند و به‌طور مخفیانه اقدام به سرقت کوکی‌های مرورگر و اجرای اسکریپت‌های راه‌دور می‌کنند.

به گفته‌ی محققان امنیتی DomainTools، این افزونه‌ها در ظاهر بخشی از عملکرد وعده‌داده‌شده را ارائه می‌دهند، اما در پشت پرده به زیرساخت مهاجمان متصل شده و برای دریافت فرمان‌های اجرایی یا ارسال اطلاعات کاربران مورد استفاده قرار می‌گیرند. برخی از قابلیت‌های مخرب این افزونه‌ها عبارتند از:

  • تغییر ترافیک شبکه برای نمایش تبلیغات، هدایت کاربر به سایت‌های خاص یا عملکرد به‌عنوان پراکسی؛
  • سرقت اطلاعات حساس کاربر از طریق کوکی‌ها؛
  • اجرای اسکریپت‌های مشکوک از راه دور بدون اطلاع کاربر.

جعل برندهای معتبر و تبلیغات فریبنده

کارزار مذکور از طریق بیش از ۱۰۰ دامنه جعلی اقدام به تبلیغ این ابزارها کرده است، که احتمالاً از روش‌هایی چون تبلیغات مخرب (malvertising) برای جذب کاربران بی‌اطلاع بهره گرفته‌اند.

برخی از دامنه‌ها و برندهای جعلی که در این کمپین شناسایی شده‌اند عبارتند از:

  • دامنه‌های جعلی برای VPN:
    earthvpn[.]top, irontunnel[.]world, raccoon-vpn[.]world, soul-vpn[.]com, orchid-vpn[.]com
  • جعل برند Fortinet:
    forti-vpn[.]com, fortivnp[.]com
  • جعل برندهای معروف مانند YouTube، DeepSeek AI، و Calendly:
    youtube-vision[.]com, deepseek-ai[.]link, calendlydocker[.]com, calendly-director[.]com
  • سایر دامنه‌های مشکوک:
    whale-alerts[.]org, madgicxads[.]world, similar-net[.]com, workfront-plus[.]com, flight-radar[.]life

این وب‌سایت‌ها با نمایش دکمه‌هایی با عنوان “Add to Chrome”، کاربران را ترغیب می‌کنند که افزونه‌های مخرب را از طریق Chrome Web Store نصب کنند، که این موضوع به افزایش حس اعتماد و مشروعیت ظاهری آنها کمک می‌کند.

هشدارهای امنیتی

به کاربران توصیه می‌شود:

  • تنها از منابع معتبر و بررسی‌شده اقدام به نصب افزونه کنند؛
  • نظرات، تعداد نصب و دسترسی‌های مورد نیاز هر افزونه را با دقت بررسی نمایند؛
  • در صورت وجود هرگونه فعالیت مشکوک، افزونه‌ها را فوراً حذف کرده و مرورگر را پاک‌سازی کنند.

همچنین سازمان‌ها و مدیران IT باید به‌طور پیوسته امنیت مرورگرها و کنترل‌ سیاست نصب افزونه‌ها را در دستگاه‌های سازمانی بازبینی کنند.

اگرچه Google بسیاری از افزونه‌هایی را که DomainTools شناسایی کرده بود حذف کرده است، BleepingComputer تأیید کرده که برخی از آن‌ها همچنان در فروشگاه Chrome Web Store موجود هستند.

پژوهشگران توضیح داده‌اند:
«فروشگاه Chrome Web Store چندین افزونه مخرب این عامل تهدید را پس از شناسایی بدافزار حذف کرده است. با این حال، پافشاری عامل تهدید و تأخیر در شناسایی و حذف آن‌ها، خطری برای کاربرانی ایجاد می‌کند که به دنبال ابزارهای بهره‌وری و ارتقاء مرورگر هستند.»

در حالی که هر افزونه عملکردهای متفاوتی دارد، اما دسترسی‌هایی با ریسک بالا درخواست می‌کنند که به آن‌ها اجازه می‌دهد کوکی‌ها (از جمله توکن‌های نشست) را سرقت کنند، حملات فیشینگ مبتنی بر DOM انجام دهند و تزریق اسکریپت‌های پویا را اجرا کنند.

برای نمونه، افزونه “fortivpn” برای سرقت کوکی‌ها، ایفای نقش به عنوان سرور پراکسی، تغییر ترافیک شبکه، و اجرای اسکریپت‌های دلخواه JavaScript از یک سرور راه‌دور به کار گرفته می‌شود.

در گزارش آمده است:
«در صورت دریافت فرمان، این افزونه با استفاده از chrome.cookies.getAll({}) تمام کوکی‌های مرورگر را بازیابی کرده، آن‌ها را با استفاده از pako فشرده‌سازی کرده، سپس به Base64 تبدیل کرده و به سرور پشتی infograph[.]top ارسال می‌کند.»

«همچنین می‌تواند طبق فرمان، یک اتصال WebSocket جداگانه برای ایفای نقش به عنوان پراکسی شبکه برقرار کند و احتمالاً ترافیک کاربر را از طریق سرورهای مخرب مسیریابی کند. هدف پراکسی توسط فرمان سرور پشتی مشخص می‌شود و مکانیزم احراز هویت پراکسی نیز در آن پیاده‌سازی شده است.»

خطراتی که از نصب این افزونه‌ها ناشی می‌شود شامل ربایش حساب کاربری، سرقت داده‌های شخصی، و نظارت بر فعالیت‌های مرور می‌باشد. در نهایت، این افزونه‌ها یک درِ پشتی در مرورگر آلوده برای مهاجمان فراهم می‌کنند که امکان سوءاستفاده‌های گسترده‌ای را ایجاد می‌کند.

مهاجمان همچنین می‌توانند از کوکی‌های نشست سرقت‌شده برای نفوذ به دستگاه‌های قانونی VPN شرکت‌ها یا حساب‌های کاربری استفاده کرده و به شبکه‌های سازمانی دسترسی پیدا کنند که ممکن است به حملات مخرب‌تر منجر شود.

برای کاهش ریسک دانلود افزونه‌های مخرب از Chrome Web Store، تنها به ناشران معتبر با سابقه قابل‌اعتماد اعتماد کنید و بررسی‌های کاربران را برای شناسایی علائم هشداردهنده مرور کنید.

BleepingComputer با Google برای پرس‌وجو درباره تلاش‌های آن‌ها در شناسایی این کمپین تماس گرفته، اما تا زمان انتشار این گزارش، پاسخی دریافت نکرده است.

 

سجاد تیموری ارسال به ایمیل 2 ساعت پیشآخرین بروزرسانی: خرداد ۶, ۱۴۰۴
۰ 0 زمان تقریبی مطالعه 3 دقیقه

نوشته های مشابه

انتشار ابزار ساخت باج‌افزار VanHelsing در یک انجمن هک و امنیت

انتشار ابزار ساخت باج‌افزار VanHelsing در یک انجمن هک و امنیت

3 روز پیش

نفوذ بدافزاری سه‌ساله در SK Telecom باعث افشای اطلاعات ۲۷ میلیون شماره تلفن شد.

3 روز پیش
سوءاستفاده گروه Hazy Hawk از خطاهای پیکربندی DNS برای ربودن دامنه‌های معتبر

سوءاستفاده گروه Hazy Hawk از خطاهای پیکربندی DNS برای ربودن دامنه‌های معتبر

3 روز پیش
سوءاستفاده از RVTools در حمله زنجیره تأمین برای انتشار بدافزار Bumblebee

سوءاستفاده از RVTools در حمله زنجیره تأمین برای انتشار بدافزار Bumblebee

3 روز پیش

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا