تحقیقات تازه نشان میدهد که دستکم پنج افزونه مخرب در فروشگاه مرورگر گوگل کروم شناسایی شدهاند که با جعل هویت پلتفرمهای منابع انسانی و برنامهریزی سازمانی مانند Workday، NetSuite و SuccessFactors، بهدنبال سرقت کوکیها و کنترل کامل حساب کاربران بودهاند.
این افزونهها با نامهایی نظیر DataByCloud Access و Software Access عرضه شده و در مجموع هزاران بار نصب شدهاند. هدف اصلی آنها سرقت توکنهای احراز هویت، مسدودسازی دسترسی مدیران امنیتی و در نهایت ربودن نشستهای کاربری بوده است. چهار مورد از این افزونهها هماکنون از فروشگاه رسمی کروم حذف شدهاند، اما همچنان در وبسایتهایی مانند Softonic قابل دانلود هستند.
بر اساس گزارش شرکت امنیتی Socket، این افزونهها هر ۶۰ ثانیه کوکیهای احراز هویت کاربران را به دامنههایی چون api.databycloud[.]com ارسال میکردهاند. برخی از آنها همچنین با دستکاری ساختار DOM مرورگر، صفحات حساس مدیریتی مانند تنظیمات امنیتی، مدیریت نشستها و کنترل آیپی را به طور کامل از دسترس خارج میکردهاند.
یکی از پیچیدهترین نمونهها، افزونه Software Access بود که نهتنها قادر به سرقت کوکیها بود، بلکه آنها را مستقیما در مرورگر مهاجم وارد میکرد و دسترسی کامل به نشستهای فعال کاربران را فراهم میساخت. این افزونه همچنین امکان مشاهده فیلدهای رمز عبور توسط کاربران را نیز مسدود میکرد.
نکته قابل توجه آنکه تمامی این افزونهها فهرستی از ۲۳ افزونه امنیتی شناختهشده کروم را در کد خود جای داده بودند تا در صورت نصب بودن این ابزارها، مهاجمان از وجودشان مطلع شوند.
کارشناسان هشدار دادهاند کاربرانی که هر یک از این افزونهها را نصب کردهاند، باید فورا آنها را حذف کرده، رمزهای عبور خود را تغییر دهند و گزارشهای دسترسی مشکوک به حسابهایشان را بررسی کنند. به گفته کارشناسان، ترکیب سرقت مداوم کوکی، مسدودسازی پنلهای امنیتی و ربودن نشستها، شناسایی حمله را ممکن میسازد اما مانع از واکنش مؤثر تیمهای امنیتی میشود.
توضیحات بیشتر:
Five Malicious Chrome Extensions Impersonate Workday and NetSuite to Hijack Accounts