Web Analytics Made Easy - Statcounter

هک شدن ۱۶ افزونه کروم، بیش از ۶۰۰ هزار کاربر را در معرض خطر قرار داد

یک کمپین حمله سایبری، ۱۶ افزونه کروم را هک کرده و بیش از ۶۰۰,۰۰۰ کاربر را در معرض سرقت داده‌ها و افشای اطلاعات هویتی قرار داده است.
ارسال شده توسط تیم تحریریه آی‌تی‌جو ۱۰ دی ۱۴۰۳ نرم افزار و اپلیکیشن
افزونه کروم مخرب و هک شده

یک کمپین حمله سایبری اخیر حداقل ۱۶ افزونه مرورگر کروم را به خطر انداخته و بیش از ۶۰۰,۰۰۰ کاربر را در معرض خطر افشای داده‌ها و سرقت اطلاعات هویتی قرار داده است.

اولین قربانی: شرکت سایبرهیون

شرکت امنیت سایبری «Cyberhaven» اولین هدف این حمله بود. در تاریخ ۲۴ دسامبر، یک ایمیل فیشینگ یکی از کارکنان این شرکت را فریب داد تا مجوزهای لازم را بدهد، که این کار به مهاجمان اجازه داد نسخه مخرب افزونه مرورگر را منتشر کنند.

سه روز بعد، «Cyberhaven» فاش کرد که کد مخربی در افزونه آن‌ها تزریق شده است که با سرور فرماندهی و کنترل (C&C) در دامنه cyberhavenext[.]pro ارتباط برقرار کرده، فایل‌های پیکربندی بیشتری دانلود کرده و داده‌های کاربران را استخراج کرده است.

ایمیل فیشینگ به نام «پشتیبانی توسعه‌دهندگان فروشگاه وب کروم» جعل شده بود و با ایجاد حس فوریت کاذب، ادعا می‌کرد که افزونه به دلیل نقض سیاست‌های برنامه توسعه‌دهندگان در خطر حذف است. این ایمیل گیرندگان را به صفحه‌ای هدایت می‌کرد که مجوزهایی به یک برنامه مخرب به نام «Privacy Policy Extension» می‌داد.

پیامدهای گسترده‌تر حمله

پس از دسترسی از طریق این برنامه مخرب، مهاجمان نسخه دستکاری‌شده افزونه را آپلود کردند که فرایند بررسی امنیتی کروم وب استور را هم پشت سر گذاشت.

«افزونه‌های مرورگر نقطه‌ضعف امنیت وب هستند» به گفته اور اشد، مدیرعامل «LayerX Security». او تأکید کرد که افزونه‌ها اغلب دسترسی گسترده‌ای به اطلاعات حساس دارند و کاربران را در معرض خطر قرار می‌دهند.

بسیاری از سازمان‌ها اطلاعی از افزونه‌های نصب‌شده روی سیستم‌هایشان ندارند و از میزان خطر آگاهی ندارند.

شناسایی افزونه‌های مخرب دیگر

پس از افشای هک «Cyberhaven»، پژوهشگران افزونه‌های دیگری را که با همان سرور C&C ارتباط داشتند، شناسایی کردند. «Jamie Blasco»، مدیر ارشد فناوری شرکت «Nudge Security»، دامنه‌های بیشتری را که به همان آدرس IP سرور مربوط به حمله «Cyberhaven» متصل بودند، شناسایی کرد.

پلتفرم امنیت افزونه مرورگر «Secure Annex» افزونه‌های مخرب بیشتری را شناسایی کرد که عبارتند از:

  • AI Assistant – ChatGPT and Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vindoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus

این افزونه‌ها شامل کدهای مخربی بودند که داده‌های کاربران را استخراج کرده و به سرورهای کنترل از راه دور ارسال می‌کردند.

جان تاکنر، بنیان‌گذار «Secure Annex»، اعلام کرد که این کمپین احتمالاً از ۵ آوریل ۲۰۲۳ آغاز شده یا حتی زودتر، با توجه به تاریخ ثبت دامنه‌ها، فعال بوده است. برخی دامنه‌ها مانند nagofsg[.]com و sclpfybn[.]com در آگوست ۲۰۲۲ و جولای ۲۰۲۱ ثبت شده‌اند.

تاکنر شباهت‌هایی بین کدهای مخرب در افزونه «Cyberhaven» و دیگر افزونه‌های آسیب‌دیده پیدا کرد. این یافته‌ها نشان می‌دهد که مهاجمان از کدهای لایه‌بندی‌شده مخرب مانند Code1، Code2 و Code3 استفاده کرده‌اند تا استخراج داده‌ها را زیر پوشش ویژگی‌هایی مانند «safe-browsing» و «ecommerce» پنهان کنند.

هدف‌گیری حساب‌های تجاری فیسبوک

کدهای مخرب به‌ویژه داده‌های هویتی و توکن‌های دسترسی حساب‌های فیسبوک، از جمله حساب‌های تجاری را هدف قرار داده بودند.

نسخه مخرب افزونه «Cyberhaven» طی ۲۴ ساعت از کروم وب استور حذف شد. بااین‌حال، «Or Eshed» هشدار داد که حذف افزونه‌ها از فروشگاه به معنای پایان تهدید نیست، زیرا تا زمانی که نسخه مخرب روی سیستم کاربران فعال باشد، مهاجمان همچنان می‌توانند به داده‌ها دسترسی پیدا کنند.

لزوم افزایش نظارت و ایمنی

ماهیت پیچیده و گسترده این حمله ضعف‌های امنیتی در افزونه‌های مرورگر را برجسته کرده است. سازمان‌ها باید افزونه‌های نصب‌شده را بررسی کرده و سیاست‌های امنیتی سیستم‌های خود را تقویت کنند.

در حال حاضر، هویت مهاجمان نامشخص است و ارتباط بین این نفوذها همچنان در دست بررسی است. گوگل هنوز در مورد این موضوع اظهار نظر نکرده و انتظار می‌رود در روزهای آینده اطلاعات بیشتری منتشر شود.

منبع هکر نیوز
موضوع