کمیته رکن چهارم – پژوهشگران امنیتی از یک کمپین بدافزاری سازمانیافته خبر دادهاند که با بهرهگیری از افزونههای محبوب مرورگرهای Chrome و Edge، میلیونها کاربر را در سراسر جهان هدف قرار داده است. این کمپین توسط گروه هکری ShadyPanda اجرا شده که با تزریق کدهای مخرب در بهروزرسانیهای افزونهها، دادههای کاربران را بهصورت زنده سرقت میکند.
به گزارش کمیته رکن چهارم، در این حمله دستکم ۱۴ افزونه با مجموع نصب بیش از ۴ میلیون بار آلوده شدهاند. برخی از این افزونهها مانند Clean Master و WeTab سالها بهعنوان ابزارهای معتبر شناخته میشدند و حتی نشان تاییدیه Chrome Web Store را دریافت کرده بودند. با این حال، مهاجمان در سال ۲۰۲۴ موفق شدند با بهروزرسانیهای آلوده، آنها را به جاسوسافزار تبدیل کنند.
تحقیقات شرکت امنیتی Koi نشان میدهد که افزونههای آلوده با دانلود اسکریپتهای JavaScript از سرورهای خارجی، بهصورت پنهانی و بدون اطلاع کاربر اجرا میشدند. رفتار آنها مشابه ابزار اجرای کد از راه دور بوده و اطلاعات وبگردی و شخصی کاربران را به سرورهایی در چین منتقل میکردند.
گزارشها همچنین حاکی از آن است که این افزونهها بهصورت هدفمند آنتیویروسهای خاصی مانند Qihoo 360 را بررسی کرده و در صورت غیرفعال بودن آنها، عملکرد مخرب خود را آغاز میکردند.
گروه ShadyPanda پیشتر نیز در حملاتی مانند کلاهبرداریهای وابسته (Affiliate Fraud) فعال بوده و از روشهایی مانند بهروزرسانی مخفیانه افزونههای معتبر برای فرار از شناسایی استفاده کرده است. کارشناسان هشدار دادهاند کاربران باید افزونههای نصبشده را بررسی و هرگونه مورد مشکوک را حذف کنند.
