شناسایی ۱۰۰ افزونه مخرب در فروشگاه وب کروم که اطلاعات کاربران را سرقت می‌کنند

کارشناسان امنیت سایبری متوجه شدند ۱۰۸ افزونه مخرب در فروشگاه رسمی Chrome Web Store منتشر شده‌اند که در قالب یک کمپین سازمان‌یافته درحال سرقت اطلاعات حساس کاربران از جمله توکن‌های Google OAuth2 هستند. مهاجمان از طریق این افزونه‌ها می‌توانند بدون اطلاع کاربران به داده‌های آنها دسترسی پیدا کنند یا ‌به‌جای آنها دست به اقدامات مختلف بزنند. به نظر می‌رسد این عملیات در قالب «بدافزار به‌عنوان سرویس» (MaaS) با منشأ روسی انجام می‌شود.

پژوهشگران شرکت امنیتی Socket اعلام کرده‌اند که این افزونه‌ها تحت پنج هویت ناشر مختلف و در دسته‌بندی‌های متنوعی منتشر شده‌اند؛ برخی از آنها ابزارهایی برای استفاده در تلگرام، یوتوب و تیک‌تاک هستند، برخی نیز کارهای مختلفی مانند ترجمه متن انجام می‌دهند. این تنوع باعث شده افزونه‌ها در نگاه اول بی‌خطر به نظر برسند و کاربران بیشتری را جذب کنند.

افزونه مخرب در فروشگاه رسمی کروم

طبق گزارش‌ها، کل کمپین هکرها به یک بک‌اند مرکزی متکی است که روی یک سرور VPS از Contabo میزبانی می‌شود. این زیرساخت شامل چندین زیردامنه می‌شود که هرکدام تسک‌های مشخصی مانند جمع‌آوری اطلاعات هویتی، اجرای دستورات و حتی عملیات درآمدزایی مانند تبلیغات تقلبی را برعهده دارند.

از نظر فنی، بزرگ‌ترین خوشه این کمپین شامل ۷۸ افزونه است که با سوءاستفاده از ویژگی innerHTML، کد HTML تحت کنترل مهاجم را مستقیماً به رابط کاربری تزریق می‌کنند. این تکنیک می‌تواند برای دستکاری محتوا، اجرای اسکریپت‌های مخرب و فریب کاربر به کار گرفته شود.

دومین گروه بزرگ، شامل ۵۴ افزونه، از یک API به نام «chrome.identity.getAuthToken» استفاده می‌کند تا اطلاعات حساسی مانند ایمیل، نام، تصویر پروفایل و شناسه حساب گوگل کاربر را جمع‌آوری کند. این افزونه‌ها همچنین می‌توانند توکن Google OAuth2 Bearer را به سرقت ببرند؛ این توکن کوتاه‌مدت به اپلیکیشن‌ها امکان می‌دهد به داده‌های کاربر دسترسی پیدا کنند یا از طرف او اقداماتی انجام دهند.

در میان این موارد، یک افزونه شدیدترین تهدید را متوجه امنیت کاربر می‌کند. این افزونه هر ۱۵ ثانیه نشست‌های Telegram Web را سرقت و به سرور مهاجم ارسال می‌کند. علاوه‌براین، پژوهشگران سه افزونه را شناسایی کرده‌اند که تبلیغاتی را در یوتوب و تیک‌تاک تزریق می‌کنند.

با وجود اطلاع‌رسانی Socket به گوگل، این شرکت هشدار داده که در زمان انتشار گزارش تمامی این افزونه‌های مخرب همچنان در Chrome Web Store در دسترس بوده‌اند.