کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک افزونه مخرب در فروشگاه Chrome خبر دادهاند که با هدف سرقت دادههای کاربران Meta Business Suite و Facebook Business Manager طراحی شده است.
به گزارش کمیته رکن چهارم، این افزونه با نام «CL Suite by @CLMasters» در ظاهر بهعنوان ابزاری برای استخراج دادههای Meta Business، حذف پنجرههای تأیید و تولید کدهای احراز هویت دومرحلهای (۲FA) معرفی شده بود. با این حال، بررسیهای فنی نشان داده است که این افزونه دادههای حساس از جمله بذرهای TOTP، کدهای یکبارمصرف ۲FA، فهرست افراد (People) در Business Manager و اطلاعات تحلیلی را به زیرساختی تحت کنترل عامل تهدید ارسال میکند.
بر اساس تحلیلها، افزونه به دامنههای meta.com و facebook.com دسترسی گسترده درخواست میکند و دادههای استخراجشده را به دامنهای خارجی منتقل میکند. همچنین قابلیت ارسال این اطلاعات به یک کانال تلگرام مرتبط با مهاجم نیز در آن تعبیه شده است.
اگرچه این افزونه بهطور مستقیم گذرواژهها را سرقت نمیکند، اما ترکیب اطلاعات ۲FA با دادههای افشاشده یا لاگهای infostealer میتواند امکان دسترسی غیرمجاز به حسابهای هدف را فراهم کند. دادههای جمعآوریشده شامل اطلاعات نقشها، سطح دسترسی کاربران، حسابهای تبلیغاتی، صفحات متصل و تنظیمات پرداخت در Business Manager است.
کارشناسان هشدار دادهاند حتی با وجود تعداد محدود نصب، چنین افزونههایی میتوانند اطلاعات کافی برای شناسایی اهداف باارزش و طراحی حملات بعدی فراهم کنند.
ربایش حسابهای VK از طریق افزونههای جعلی
همزمان، گزارش دیگری از ربایش حدود ۵۰۰ هزار حساب VKontakte از طریق افزونههای Chrome منتشر شده است. این افزونهها که خود را ابزار شخصیسازی VK معرفی میکردند، کاربران را بهطور خودکار عضو گروههای مهاجم میکردند، توکنهای امنیتی را دستکاری میکردند و کنترل پایدار بر حساب حفظ میکردند.
کارزار افزونههای جعلی هوش مصنوعی
در تحولی دیگر، کارزاری با نام «AiFrame» شامل ۳۲ افزونه ظاهراً مرتبط با ابزارهای هوش مصنوعی شناسایی شده که در مجموع بیش از ۲۶۰ هزار بار نصب شدهاند. این افزونهها با بارگذاری iframe از دامنههای راه دور، امکان کنترل پویا و استخراج دادههایی مانند محتوای ایمیلهای Gmail را فراهم میکنند.
استخراج تاریخچه مرور توسط صدها افزونه
گزارش جداگانهای نیز نشان داده است ۲۸۷ افزونه Chrome در مجموع با بیش از ۳۷ میلیون نصب، تاریخچه مرور کاربران را جمعآوری و به کارگزاران داده منتقل میکنند.
این یافتهها نشان میدهد افزونههای مرورگر به یکی از بردارهای اصلی استخراج دادههای حساس تبدیل شدهاند؛ اغلب در پوشش ابزارهای کاربردی یا افزونههای هوش مصنوعی.
توصیههای امنیتی
کارشناسان توصیه میکنند کاربران تنها افزونههای ضروری را از منابع رسمی نصب کنند، دسترسیهای درخواستی را بهدقت بررسی کرده و بهطور منظم افزونههای نصبشده را بازبینی کنند. در محیطهای سازمانی نیز اجرای سیاست فهرست سفید (Allowlisting) برای محدودسازی افزونهها پیشنهاد میشود.
