کمیته رکن چهارم – گوگل در پاسخ به گزارشهایی مبنی بر اینکه از افزونهها برای سرقت اطلاعات حساس کاربران استفاده شده است، ۱۰۶ افزونهی مرورگر کروم را از Chrome Web Store حذف کرد.
در این تحقیق، که نتایج آن اخیراً منتشر شده است، Awake Security ادعا کرد میلیونها کاربر کروم توسط مهاجمان، مورد هدف قرار گرفتهاند. مهاجمان از افزونههای مرورگر کروم گوگل نه تنها برای سرقت داده، بلکه برای ایجاد بستری پایدار در شبکههای قربانیان نیز استفاده کردهاند. این افزونههای مخرب برای مرورگر رایگان بودند و برای هشدار به کاربران در مورد وبسایتهای مشکوک یا فشردهسازی فایلها طراحی شده بودند. به طور کلی، Awake Security تخمین میزند که این افزونهها ۳۲ میلیون بار دانلود شدهاند.
یکی از سخنگوهای گوگل، در بیانیهای اعلام کرد: “ما از افزونههای موجود در Web Store که خطمشیهای ما را نقض کردهاند، خبردار شده و اقدامات لازم را در این انجام دادهایم. همچنین از این افزونهها به عنوان نمونههایی آموزشی، در جهت ارتقای تحلیل خودکار و دستی خود استفاده میکنیم.”
در حالی که گوگل مدت زمان طولانی است که Web Store کروم را برای افزونههای مخرب مرورگر کنترل میکند، آنچه که در مورد این دسته افزونه اخیر منحصر به فرد بود، این است که ادعا میشد بخشی از یک همکاری و “کمپین نظارت گسترده جهانی” است.
محققان گوگل همچنین ادعا میکنند که این کمپین توسط ثبتکنندهی دامنهی اینترنت، CommuniGal Communication Ltd. (GalComm)، پشتیبانی شده است.
به گفته محققان، ثبتکننده دامنه به مجرمان اجازه دادهاست تا از چند لایهی امنیتی، حتی در سازمانهای پیشرفته و با سرمایهگذاریهای قابل توجه در امنیت سایبری، عبور کنند. تنها در سه ماه گذشته، ۱۱۱ افزونهی مخرب یا جعلی کروم که از دامنههای Galcomm برای زیرساختهای فرماندهی و کنترل مهاجم و یا به عنوان صفحات بارکننده برای افزونهها استفاده کردهبودند، جمعآوری شدهاند. این افزونهها میتوانند از صفحه عکس بگیرند، کلیپبورد را بخوانند، توکنهای معتبر ذخیرهشده در کوکیها یا پارامترها را جمعآوری کنند، ضربههای کاربر بر صفحهکلید (مانند گذرواژهها) را بگیرند و غیره.”
بنیانگذار و محقق ارشد Awake Security، در تفسیر فنی این تهدید نوشت: “از میان ۲۶۰۷۹ دامنه قابل دسترسی که از طریق Galcomm ثبت شدند، تعداد ۱۵۱۶۰ دامنه مخرب یا مشکوک به میزبانی از تعداد زیادی بدافزارهای سنتی یا ابزارهای پایش بر اساس مرورگر هستند. با استفاده از روشهای دور زدن مختلف، این دامنهها از شناسایی شدن به عنوان دامنههای مخرب توسط بسیاری از راهکارهای امنیتی فرار کرده که این امر باعث شد این کمپین ناشناس باقی بماند. در ماه فوریه، Duo Security یک کمپین مشابه را کشف کرده است که ۵۰۰ افزونهی مرورگر گوگل کروم به طور مخفیانه دادههای خصوصی کاربران را سرقت کرده و قربانیان را به وبسایتهای دارای بدافزار راهنمایی میکردند.
https://threatpost.com/google-yanks-106-malicious-chrome-extensions/156731/
منبع: مرکز ماهر