ايتنا - جزئیات جدید درباره هک ۳۵ افزونه مروگر کروم

این حمله با ارسال یک ایمیل فیشینگ به توسعه‌دهندگان افزونه‌های کروم آغاز می‌شود. ایمیل‌ها به گونه‌ای طراحی شده‌اند که به نظر برسد از سوی گوگل فرستاده شده‌اند و ادعا می‌کنند که افزونه در نقض سیاست‌های فروشگاه وب کروم قرار دارد و در معرض حذف است.

در تاریخ ۳۱ دسامبر ۲۰۲۴، جزئیات جدیدی درباره یک کمپین فیشینگ که توسعه‌دهندگان افزونه‌های مرورگر کروم را هدف قرار داده، منتشر شده است. این کمپین منجر به نفوذ به حداقل ۳۵ افزونه (Extension) شد که کدهای سرقتی از جمله افزونه‌هایی از شرکت امنیت سایبری سایبرهِیوِن (Cyberhaven) را در خود جای داده بودند.

به گزارش ایتنا، اگرچه گزارش‌های اولیه بر روی افزونه‌ای با تمرکز بر امنیت Cyberhaven متمرکز شده بودند، اما تحقیقات بعدی نشان داد که همان کد به حداقل ۳۵ افزونه دیگر که به طور کلی توسط حدود ۲٫۶ میلیون نفر استفاده می‌شود، تزریق شده است.

بر اساس گزارش‌های منتشر شده در لینکدین و گروه‌های گوگل از توسعه‌دهندگانی که هدف قرار گرفتند، این کمپین جدید از حدود ۵ دسامبر ۲۰۲۴ آغاز شده است. با این حال، زیر مجموعه‌های فرمان و کنترل که توسط بلیپینگ کامپیوتر (BleepingComputer) شناسایی شده‌اند، از مارس ۲۰۲۴ وجود داشته‌اند.

این حمله با ارسال یک ایمیل فیشینگ به توسعه‌دهندگان افزونه‌های کروم آغاز می‌شود. ایمیل‌ها به گونه‌ای طراحی شده‌اند که به نظر برسد از سوی گوگل فرستاده شده‌اند و ادعا می‌کنند که افزونه در نقض سیاست‌های فروشگاه وب کروم قرار دارد و در معرض حذف است.

ایمیل فیشینگ به توسعه‌دهنده می‌گوید که توضیحات نرم‌افزار شامل اطلاعات گمراه‌کننده است و باید با سیاست‌های فروشگاه وب کروم موافقت کند. اگر توسعه‌دهنده بر روی دکمه «به سیاست بروید» کلیک کند، به یک صفحه ورود قانونی در دامنه گوگل برای یک برنامه OAuth مخرب هدایت می‌شود.

در این پلتفرم، مهاجم یک برنامه OAuth مخرب به نام "Privacy Policy Extension" را میزبانی کرده است که از قربانی می‌خواهد اجازه مدیریت افزونه‌های فروشگاه وب کروم را از طریق حساب خود بدهد.
پس از اینکه مهاجم به حساب توسعه‌دهنده دسترسی پیدا کرد، افزونه را تغییر داده و دو فایل مخرب به نام‌های 'worker.js' و 'content.js' را اضافه کرده که شامل کدی برای سرقت اطلاعات از حساب‌های فیس‌بوک است.

تحلیل دستگاه‌های آسیب‌دیده نشان داد که مهاجمان به دنبال حساب‌های فیس‌بوک کاربران این افزونه‌ها بودند. کد سرقت داده تلاش می‌کرد تا شناسه فیس‌بوک کاربر، توکن دسترسی و اطلاعات حساب را جمع‌آوری کند. همچنین این کد مخرب یک شنونده رویداد کلیک ماوس اضافه کرد تا تعاملات قربانی در فیس‌بوک را رصد کند.

مهاجمان با هدف دسترسی به حساب فیس‌بوک قربانیان، سعی داشتند تا از طریق راه‌های مختلفی مانند پرداخت مستقیم از کارت اعتباری قربانیان یا اجرای کمپین‌های فیشینگ در این پلتفرم اجتماعی بهره‌برداری کنند. این حمله نشان‌دهنده پیچیدگی و خطرات جدی مرتبط با امنیت سایبری است و نیاز به آگاهی بیشتر کاربران درباره تهدیدات آنلاین را برجسته می‌کند.