هشدار درباره افزونه‌های مرورگر؛ بیش از ۸ میلیون سیستم آلوده شد

کمیته رکن چهارم – یکی از پیچیده‌ترین عملیات‌های بدافزاری با منشأ چینی که از طریق افزونه‌های مرورگر انجام شده، تاکنون بیش از ۸.۸ میلیون کاربر مرورگرهای کروم، اج و فایرفاکس را آلوده کرده است.

به گزارش کمیته رکن چهارم، شرکت امنیتی Koi Security در گزارشی رسمی اعلام کرده است که یک عملیات بدافزاری گسترده با نام DarkSpectre طی هفت سال گذشته توانسته از طریق سه کمپین مجزا، افزونه‌های ظاهراً معتبر مرورگر را به ابزارهای جاسوسی تبدیل کرده و میلیون‌ها کاربر را هدف قرار دهد.

بر اساس اطلاعات منتشرشده، این عملیات شامل سه بخش اصلی به نام‌های ShadyPanda، Zoom Stealer و GhostPoster است که به ترتیب بیش از ۵.۶ میلیون، ۲.۲ میلیون و ۱.۰۵ میلیون کاربر را آلوده کرده‌اند. پژوهشگران تأکید دارند که این کمپین‌ها بخشی از یک عملیات هماهنگ هستند که از زیرساخت‌های مشترک فرماندهی و کنترل استفاده می‌کنند.

تحلیل فنی نشان می‌دهد که مهاجمان برای مدت طولانی افزونه‌هایی را کاملاً بی‌خطر نگه داشته‌اند و پس از جلب اعتماد کاربران، آن‌ها را از طریق به‌روزرسانی به بدافزار تبدیل کرده‌اند. افزونه‌هایی مانند «داشبورد شخصی صفحه جدید» از سازوکاری به نام «بمب زمانی» استفاده می‌کنند که باعث می‌شود بدافزار تنها پس از گذشت چند روز از نصب فعال شود و فقط در درصد کمی از فعالیت‌های مرورگر اجرا گردد تا شناسایی آن دشوارتر شود.

در کمپین Zoom Stealer، ۱۸ افزونه شناسایی شده‌اند که با ظاهر ابزارهای ویدئوکنفرانس، اطلاعات حساسی نظیر لینک جلسات، اطلاعات ورود، فهرست شرکت‌کنندگان و مشخصات سخنرانان را از ۲۸ پلتفرم مختلف جمع‌آوری می‌کنند. این داده‌ها به‌صورت زنده به زیرساخت‌های ابری منتقل شده و در اختیار مهاجمان قرار می‌گیرند.

کمپین GhostPoster نیز از روش استگانوگرافی برای پنهان‌سازی کدهای مخرب درون فایل‌های تصویری استفاده کرده است. این تکنیک امکان می‌دهد داده‌های مخرب در قالب فایل‌هایی با ظاهر عادی منتقل شده و از چشم ابزارهای امنیتی پنهان بمانند.

گوگل و مایکروسافت اعلام کرده‌اند که افزونه‌های شناسایی‌شده را از فروشگاه‌های رسمی خود حذف کرده‌اند، اما تأکید کرده‌اند که کاربران باید شخصاً افزونه‌های مرورگر خود را بررسی و پاک‌سازی کنند؛ زیرا حذف از فروشگاه به‌صورت خودکار باعث حذف از مرورگر نمی‌شود.

گزارش Koi Security همچنین از شناسایی ۹ افزونه فعال و دست‌کم ۸۵ افزونه «خاموش» خبر داده است که هنوز فعالیت خود را آغاز نکرده‌اند اما قابلیت تبدیل به ابزار جاسوسی را از طریق به‌روزرسانی دارند.