EN
 

سرقت اطلاعات ۲۰ هزار کاربر گوگل و تلگرام از طریق ۱۰۸ افزونه کروم

  1. سرتفا»
  2. آخرین خبرها»
  3. بدافزارها
۲۵ فروردین ۱۴۰۵

پژوهشگران امنیتی به‌تازگی از شناسایی شبکه گسترده‌ای شامل ۱۰۸ افزونه مخرب در فروشگاه وب کروم خبر داده‌اند که با هدف سرقت اطلاعات حساس و پایش فعالیت‌های آنلاین کاربران طراحی شده‌اند.

این افزونه‌ها که تاکنون بیش از ۲۰ هزار بار توسط کاربران نصب شده‌اند، اطلاعاتی نظیر هویت حساب‌های گوگل، نشست‌های فعال تلگرام و داده‌های مرورگر را به سرورهای تحت کنترل مهاجمان ارسال می‌کنند.

طبق گزارش منتشر شده از سوی مسسه امنیتی «ساکت» (Socket)، این افزونه‌ها تحت پنج عنوان مختلف از جمله «پروژه یانا» (Yana Project) و «گیم‌جن» (GameGen) منتشر شده‌اند. بررسی‌ها نشان می‌دهد که تمامی این ابزارها به یک زیرساخت فرماندهی و کنترل واحد متصل هستند. مهاجمان با استفاده از این شبکه، کدهای مخرب جاوا اسکریپت را به صفحات وب مورد بازدید کاربران تزریق کرده و علاوه بر سرقت داده‌ها، تبلیغات ناخواسته یا صفحات جعلی را در وب‌سایت‌هایی مانند یوتیوب و تیک‌تاک نمایش می‌دهند.

یافته‌های تخصصی حاکی از آن است که ۵۴ مورد از این افزونه‌ها با سوءاستفاده از پروتکل احراز هویت OAuth2 اقدام به سرقت هویت حساب گوگل کاربران می‌کنند. همچنین ۴۵ افزونه دیگر دارای یک در پشتی عمومی هستند که به محض اجرای مرورگر، آدرس‌های اینترنتی تعیین شده توسط هکرها را باز می‌کنند. 

یکی از خطرناک‌ترین جنبه‌های این کارزار، هدف قرار دادن نسخه وب تلگرام است؛ برخی از این افزونه‌ها هر ۱۵ ثانیه یک‌بار اطلاعات نشست‌های فعال کاربران را استخراج کرده و به سرورهای مقصد می‌فرستند تا دسترسی کامل به حساب پیام‌رسان قربانی را برای مهاجمان فراهم کنند.

این بدافزارها برای فریب کاربران، خود را در قالب ابزارهای کاربردی نظیر کلاینت‌های جانبی تلگرام، بازی‌های آنلاین، مترجم متن و افزونه‌های بهینه‌ساز یوتیوب جا می‌زنند. برای مثال، افزونه‌ای با نام Formula Rush Racing به محض کلیک کاربر روی دکمه ورود، تمامی مشخصات فردی شامل ایمیل، نام کامل و تصویر پروفایل گوگل او را سرقت می‌کند. همچنین برخی دیگر از این ابزارها با حذف هدرهای امنیتی وب‌سایت‌ها، سدهای دفاعی مرورگر را برای تزریق محتوای مخرب از کار می‌اندازند.

اگرچه هویت دقیق عاملان این حملات هنوز مشخص نشده است، اما وجود کامنت‌هایی به زبان روسی در کدهای منبع این افزونه‌ها، گمانه‌زنی‌هایی را درباره منشا این کارزار ایجاد کرده است. کارشناسان امنیتی توصیه می‌کنند کاربرانی که هر یک از این افزونه‌ها را نصب کرده‌اند، بلافاصله نسبت به حذف آن‌ها اقدام نموده و تمامی نشست‌های فعال تلگرام وب خود را از طریق اپلیکیشن موبایل این پیام‌رسان مسدود کنند. با توجه به پیچیدگی این حملات، بازبینی دوره‌ای دسترسی‌های افزونه‌های نصب شده در مرورگر برای حفظ حریم خصوصی ضروری است.

توضیحات بیشتر:

108 Malicious Chrome Extensions Steal Google and Telegram Data, Affecting 20,000 Users

بدافزار

به اشتراک بگذارید

بازگشت به بالا

هکرها با سوءاستفاده از محبوبیت Claude دسترسی از راه دور به رایانه‌ها پیدا می‌کنند