هفت افزونه دیگر گوگل کروم در دست هکر‌ها

خلاصه: هکر‌ها همچنان به دنبال راه‌های جدید برای انتقال ترافیک به سمت برنامه‌ها و صفحات وابسته به خودشان هستند. در این مورد آن‌ها از افزونه‌های کروم برای ربودن ترافیک و جایگزین کردن تبلیغات بر روی مرورگر قربانی استفاده کرده‌اند. آن‌ها با ارسال ایمیل‌های فیشینگ، مجوز‌های توسعه دهندگان را به‌دست آورده و نسخه‌های مخربی از افزونه‌ها را منتشر کرده‌اند.

افزونه‌های کروم که به دست هکر‌ها افتاده‌اند از اوایل آگوست در حال افزایش است. بر اساس تحقیقات محققان ProofPoint تعداد 7 افزونه‌ی قانونی دیگر از کروم به دست هکر‌ها افتاده است و با استفاده از آن می‌توانند ترافیک اینترنت و تبلیغات مبتنی بر وب را دستکاری کنند.

براساس گزارشی که دوشنبه منتشر شد لیست افزونه‌هایی که به دست هکر‌ها افتاده است شامل : Web Developer 0.4.9 ، Chrometana 1.1.3، Infinity New Tab 3.12.3، Web Paint 1.2.1، Social fixer 20.1.1 می‌باشد. همچنین این گزارش نشان می‌دهد که افزونه‌هایی مانند Touch VPN و BetterNet VPN نیز در اواخر ژوئن به دست هکر‌ها افتاده است.

حوادث مربوط به افزونه‌های کروم شبیه به حادثه‌ی 28 جولای مربوط به توزیع‌کنندگاه نرم‌افزار A9T9 است که در آن مجوز‌های توسعه‌دهندگان به دست هکر‌ها افتاد. در آن حادثه افزونه‌ی رایگان محبوب OCR برای مرورگر‌های وب توسط هکر‌ها به منظور ارسال هرزنامه ربوده‌شد.

ProofPoint متعقد است در اواخر جولای و اوایل آگوست چندین افزونه‌ی گوگل پس از این‌که مجوز حساب کاربری نویسندگان افزونه‌ها دزدیده شد، به دست هکر‌ها افتادند. محققان، توسعه‌دهندگانی که احتمالا درگیر شده‌اند را شناسایی نکرد‌ه‌اند.

حمله‌ی ماه جولای که علیه نرم‌افزار A9T9 صورت گرفت ریشه در یک ایمیل فیشینگ که یکی از توسعه‌دهندگان افزونه‌ی Copyfish را هدف قرار داده بود دارد. دریافت‌کننده ایمیل تصور می‌کرده که ایمیل، یک هشدار از طرف Google Play برای به‌روزرسانی برنامه‌ی CopyFish بوده است.

براساس اظهارات شرکت A9t9 دریافت‌کننده‌ی ایمیل جعلی، بر روی لینک کلیک کرده و یک صفحه با فرم مربوط به پسورد گوگل باز می‌شود. سپس پسورد اکانت توسعه‌دهنده‌ی تیم A9t9 را وارد می‌کند.

همین باعث شده که مهاجمان بتوانند افزونه‌ی CopyFish را با تزریق کد دستکاری کرده و یک نسخه‌ی مخرب از آن را منتشر کنند.

براساس گزارشات شرکت A9T9، آن‌ها با همکاری گوگل برای به‌دست آوردن کنترل حساب توسعه‌دهنده و حذف المان‌های مخرب این توزیع تلاش کردند.

ProofPoint اظهار داشته است که هکر‌ها در حملات فیشینگ مشابه، برنامه‌نویس‌های افزونه‌ها را برای بدست آوردن مجوز حساب گوگل فریب داده‌اند. این مجوز‌ها بعدا برای دسترسی به حساب‌های مربوط به افزونه‌های خاص استفاده شدند و دقیقا همانند Copyfish، افزونه‌ها با اضافه کردن کد‌های مخرب تغییر داده‌شده‌اند و حساب‌های توسعه‌دهندگان گوگل به دست هکر‌ها افتاده است.

در یک نمونه از نسخه‌های مخرب افزونه‌ها، افزونه‌ی مخرب تلاش می‌کند تا ads ها را بر روی مرور‌گر قربانی جایگزین کند، ترافیک شبکه‌ها را بدزدد و قربانی را برای تعمیر کامپیوتر خود گول بزند. بر اساس گزارش ProofPoint در بسیاری از موارد قربانی‌ها با یک هشدار جعلی JavaScript روبه‌رو می‌شدند که آن‌ها را به تعمیر کامپیوترشان توصیه می‌کرده و قربانی را به سمت برنامه‌های وابسته‌ای که به مهاجم کمک می‌کردند، هدایت می‌کرده است.

یک تحلیل بر روی صفحات وابسته مانند browser-update.info، search-tab.win نشان داد که ترافیک، بسیار قابل توجه بوده است. براساس تحقیقات ProofPoint، search-tab.win در یک ماه 920000 نمایش داشته است که مشخص نیست که چه مقدار از این ترافیک توسط افزونه‌های ربوده‌شده تولید شده است.

محققان اظهار داشتند که آن‌ها توسط یک توسعه‌دهنده به نام Chiris Pederick از آسیب‌دیدن یک افزونه با خبر شده‌اند. Chiris در 2 آگوست در مورد اینکه افزونه‌ی Google Web Developer به دست هکر‌ها افتاده است توییت کرده است. 

در این مورد ProofPoint توانسته نسخه‌ی آسیب‌دیده‌ی افزونه را بازبینی کرده و کد تزریق‌شده را جدا کند. تحلیل کد نشان می‌دهد که مهاجمان یک فایل از راه دور ga.js را از طریق HTTPS از یک سرور که دامنه‌ی آن از طریق الگوریتم‌های تولید دامنه تولید شده‌است بازیابی می‌کند.

محققان می‌گویند که علاوه بر ربودن ترافیک و هدایت کردن کاربر به سمت صفحات و برنامه‌های وابسته، برخی از افزونه‌ها اطلاعاتی را در مورد مجوز‌های Cloudflare استخراج و جمع‌آوری می‌کنند که برای هکر‌ها پتانسیل‌های بالقوه‌ای را برای حملات آینده فراهم می‌کند.

تا زمانی که مشکل این افزونه‌ها حل نشده و به دست توسعه‌دهندگان اصلی خود بازگردد کاربران نباید از آن‌ها استفاده کنند و اگر از این افزونه‌ها استفاده می‌کنند استفاده از آن‌ها را متوقف کنند.