EN
 

کشف دو افزونه کروم با هدف سرقت اطلاعات کاربران در بیش از ۱۷۰ وب‌سایت

  1. سرتفا»
  2. آخرین خبرها»
  3. عمومی
۰۴ دی ۱۴۰۴

پژوهشگران امنیت سایبری از کشف دو افزونه مرورگر کروم با عملکرد مخرب خبر داده‌اند که به‌طور پنهانی اطلاعات حساس کاربران را از بیش از ۱۷۰ وب‌سایت جمع‌آوری می‌کنند. هر دو افزونه با نام مشابه «Phantom Shuttle» و توسط یک توسعه‌دهنده منتشر شده‌اند.

این افزونه‌ها که به‌عنوان ابزاری برای تست سرعت شبکه در چند موقعیت جغرافیایی معرفی شده‌اند، تاکنون توسط بیش از دو هزار کاربر نصب شده‌اند. کاربران با پرداخت اشتراک‌هایی بین ۱.۴ تا ۱۳.۵ دلار، تصور می‌کنند که به یک سرویس وی‌پی‌ان قانونی دسترسی یافته‌اند در حالی‌که افزونه‌ها در پشت پرده به جمع‌آوری مداوم داده‌های کاربران مشغول‌اند.

بر اساس گزارش شرکت امنیتی Socket، پس از خرید اشتراک، افزونه به‌طور خودکار وارد وضعیت «هوشمند» شده و ترافیک کاربران را از طریق سرورهای تحت کنترل مهاجمان هدایت می‌کند. در این حالت، اطلاعات عبوری شامل رمزهای عبور، کوکی‌های ورود، داده‌های فرم‌ها، کلیدهای ای‌پی‌آی و حتی اطلاعات مالی کاربران از جمله کارت‌های بانکی، قابل رهگیری و سرقت است.

کدهای مخرب افزونه با اعمال تغییراتی در کتابخانه‌های جاوااسکریپت معروف مانند jquery-1.12.2.min.js و scripts.js، اطلاعات ورود از پیش تعریف‌شده‌ای را در تمام درخواست‌های HTTP وارد می‌کنند. این فرآیند کاملا پنهانی انجام می‌شود و هیچ پنجره اخطاری به کاربر نمایش داده نمی‌شود.

علاوه بر این، افزونه‌ها با ارسال پیامی موسوم به heartbeat هر ۵ دقیقه یک‌بار، اطلاعاتی مانند ایمیل و رمز عبور کاربر را به دامنه‌ای با نام phantomshuttle[.]space ارسال می‌کنند؛ دامنه‌ای که همچنان فعال است.

دامنه‌هایی که مورد هدف این افزونه‌ها قرار گرفته‌اند طیف گسترده‌ای را در بر می‌گیرد: از پلتفرم‌های توسعه نرم‌افزار مانند گیت‌هاب، داکر و استک‌اورفلو، تا خدمات ابری مانند AWS و Azure، راهکارهای سازمانی سیسکو و آی‌بی‌ام و حتی شبکه‌های اجتماعی و سایت‌های محتوای بزرگسال.

هرچند هویت عاملان این عملیات هشت‌ساله هنوز روشن نیست اما استفاده از زبان چینی در توضیحات افزونه، پشتیبانی از پرداخت از طریق علی‌پی و وی‌چت و میزبانی زیرساخت C2 روی سرورهای علی‌بابا، همگی نشانه‌هایی از منشا چینی این حمله دارند.

کارشناسان هشدار داده‌اند کاربران این افزونه‌ها باید فورا آن‌ها را حذف کرده و مدیران آی‌تی نیز سیاست‌های محدودسازی نصب افزونه‌ها، پایش ترافیک مشکوک و بررسی مجوزهای مرتبط با پروکسی را در دستور کار قرار دهند.

توضیحات بیشتر:

Two Chrome Extensions Caught Secretly Stealing Credentials from Over 170 Sites

برنامه‌های مخرب

به اشتراک بگذارید

بازگشت به بالا

آسیب‌پذیری بحرانی در سرویس ایمیل سیسکو