تحقیقات تازه نشان میدهد میلیونها کاربر مرورگرهای گوگل کروم و مایکروسافت اِج، بدون اطلاع خود هدف کارزار جاسوسی سایبری از طریق ۱۸ افزونه مرورگر قرار گرفتهاند. این افزونهها از طریق فروشگاه رسمی کروم و اِج عرضه شده و در مجموع بیش از ۲.۳ میلیون بار نصب شدهاند.
این افزونهها در ظاهر کاملا معقول به نظر میرسیدند، کارکردهای مفید ارائه میدادند، نظرات مثبتی دریافت کرده بودند و حتی برخی از آنها دارای نشان تایید (verified badge) بودند. با این حال، مهاجمان سایبری با استفاده از بهروزرسانیهای تدریجی، کدهای مخرب را در نسخههای بعدی افزونهها گنجاندند؛ روشی که به "عامل خفته" (Sleeper Agent) معروف است.
پس از فعالسازی، این افزونهها بهطور پنهانی رفتار کاربران را زیر نظر گرفتهاند. آنها با هر بار باز شدن یک صفحه وب جدید، آدرس آن را به همراه یک شناسه منحصربهفرد برای سرور فرمان و کنترل (C&C) ارسال میکردند و در صورت دریافت دستور، کاربر را به وبسایتهای آلوده یا جعلی هدایت میکردند.
برای مثال، کاربری که روی لینک دعوتنامه جلسه Zoom کلیک میکرد، به صفحهای تقلبی هدایت میشد که در آن به دروغ ادعا میشد برای پیوستن به جلسه باید "بروزرسانی ضروری Zoom" را نصب کند؛ فایلی که در واقع حاوی بدافزار دیگری بوده است.
نام برخی از افزونههای آلوده شامل موارد زیر است:
- در کروم: Emoji keyboard online، Free Weather Forecast، Unlock Discord، Volume Max، Geco colorpick، Unblock TikTok
- در اِج: SearchGPT، Flash Player، Youtube Unblocked، Volume Booster، Web Sound Equalizer
بیشتر این افزونهها اکنون از فروشگاهها حذف شدهاند، اما کارشناسان هشدار میدهند که نصب افزونه از منابع رسمی هم تضمینی برای امنیت کامل نیست. با این حال، دریافت افزونه از منابع غیر رسمی، ریسک بیشتری دارد.
راهکارهای پیشنهادی:
- حذف افزونههای مشکوک
- پاکسازی دادههای مرورگر (تاریخچه، کوکیها، کش)
- فعالسازی تایید دومرحلهای
- بازنشانی تنظیمات مرورگر به حالت پیشفرض
- اجرای اسکن کامل با یک نرمافزار ضدبدافزار
در نهایت، در صورت درخواست مجوزهای جدید توسط افزونهها پس از بهروزرسانی، حتما با دقت به دلایل آن توجه کنید. این ممکن است نشانهای از رفتار مشکوک باشد.
توضیحات بیشتر:
Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware.