کمیته رکن چهارم – مهاجمان سایبری اخیراً توانستهاند با آلوده کردن فروشگاه وب کروم، به یک افزونهی مرورگر گوگل کروم نفوذ کنند. این نفوذ در حساب کاربری گروه آلمانی با نام a۹t۹ انجام شده که از آن برای توزیع پیامهای هرزنامهای بهرهبرداری میشود. این افزونه Copyfish نام داشته و به کاربران این امکان را میدهد تا از تصاویر، اسنادی پیدیاف و ویدئوها، متن را استخراج کنند. این افزونه در حال حاضر نزدیک به ۳۷۵۰۰ کاربر دارد.
متاسفانه افزونهی Copyfish توسط مهاجمان مناشناس آلوده شده و به آن قابلیت تزریق تبلیغات اضافه شده است. با این حال، نمونهی فایرفاکس آن، تحت تأثیر این حمله قرار نگرفته است. مهاجمان همچنین این افزونه را به حساب کاربری خود مخصوص توسعه انتقال دادهاند. این کار باعث شده تا توسعهدهندگان این افزونه نتوانند آن را از فروشگاه حذف کنند. بررسیهای توسعهدهنگان این افزونه نشان میدهد که حمله در تاریخ ۲۸ جولای اتفاق افتاده است.
به گفتهی گروه نرمافزاری a۹t۹، یکی از اعضای این گروه رایانامهی فیشینگ دریافت کرده که ادعا میکند از طرف گروه فروشگاه وب کروم ارسال شده و از آنها خواسته تا افزونهی Copyfish را بهروزرسانی کنند در غیر این صورت، گوگل آن را از فروشگاه حذف خواهد کرد. در این رایانامه، از کاربر خواسته شده تا بر روی پیوند «توضیحات بیشتر» کلیک کند که در این صورت، پنجرهی گذرواژهی گوگل به او نمایش داده خواهد شد. پیوندی که در رایانامه ارائه شده، پیوند bit.ly است ولی به دلیل اینکه اعضای این گروه، پیوند را در حالت HTML مشاهده کردهاند، به آن مشکوک نشده و گذرواژهی حساب توسعهدهندهی خود را وارد کردهاند. توسعهدهندگان میگویند صفحهای که نمایش داده شده، بسیار شبیه به صفحهی گذرواژهی گوگل بوده است.
زمانی که توسعهدهنده، گذرواژهی حساب a۹t۹ را وارد کرده، مهاجمان در تاریخ ۲۹ جولای، افزونهی Copyfish را به نسخهی ۲.۸.۵ بهروزرسانی کردهاند. در این نسخهی جدید، بدافزار و تبلیغات به سامانههای کاربران تحویل داده میشود. قسمت بد ماجرا آنجایی بود که توسعهدهندگان بسیار سریع متوجه این حمله شدند ولی کاری از دستشان بر نمیآمد چرا که مهاجمان افزونه را به حساب کاربری خود منتقل کرده بودند. توسعهدهندگان این افزونه با بخش پشتیبانی گوگل تماس گرفتند و در تلاش هستند تا دسترسیهای خود به برنامه را پس بگیرند. توسعهدهندگان به کاربران هشدار دادند که افزونهی Copyfish در حال حاضر تحت کنترل آنها نیست. بنابراین به کاربران توصیه میشود تا این افزونه را نصب نکنند و در صورتی که نصب کردهاند، آن را حذف کنند.
