روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اگر از مرورگری غیر از مرورگر پیش‌فرضِ سیستم‌عامل استفاده می‌کنید، به احتمال زیاد از اطلاعات افزونه‌های آن مطلع هستید و حتی ممکن است از چندتایی را هم استفاده کرده باشید. اگر هر از چندگاهی به این وبلاگ سر می‌زنید باید این را هم بدانید که برخی از این افزونه‌ها خطرناکند و باید تنها از منابع رسمی نصب گردند. مشکل اینجاست که این افزونه‌های آلوده می‌توانند بی‌آنکه کاربر خبردار شود نصب شوند.  

چطور Razy افزونه‌های آلوده و مخرب را نصب می‌کند

اولین مظنون، تروجانِ Razy است که با پلاگین‌های خود به مرورگر کرومِ گوگل، فایرفاکسِ موزیلا و Yandex Browser (همه برای نسخه‌ی ویندوزی) اضافه می‌شود. این بدافزار اساساً اسکن افزونه‌های نصب‌شده را از کار انداخته و نمی‌گذارد مرورگر در صورت لزوم آپدیت شود. سپس افزونه‌های مخرب و آلوده‌ی خود را نصب می‌کند: فایرفاکس افزونه‌ی Firefox Protection دریافت می‌کند، یادنکس هم Yandex Protect را.

حتی اگر اسم افزونه‌ها گول‌زننده هم باشند دست کم از روی ظاهرشان می‌شود به مشکوک بودن آن‌ها پی برد. برای همین است که اسکریپت برای گوگل کروم مشخصاً خطرناک است: Razy می‌تواند روی افزونه‌ی سیستم Chrome Media Router تأثیر بگذارد. این تروجان در فهرست عمومی پلاگین‌های مرورگر ظاهر نمی‌شود و بدون نرم‌افزار امنیتی تنها به صورت غیرمستقیم قابل‌شناسایی است.

بعد از آلودگی چه اتفاقی می‌افتد؟

کل سناریو مصداقی کلاسیک است از حمله‌ی "مردی در مرورگر"[1]. افزونه‌های آلوده محتوای وبسایت را بنابر علاقه‌ی سازندگان خود تغییر می‌دهند. در مورد تروجان  Razy، دارندگان رمزارز بیشترین واهمه را دارند. این افزونه سایت‌های تبادل رمز را مورد هدف قرار داده و آن‌ها را به بنرهایی که پیشنهادات وسوسه‌انگیز برای خرید یا فروش رمزارز می‌دهند مزین می‌کنند. اما کاربرانی که طعمه‌ی این دام می‌شوند در نهایت جیب مجرمان سایبری را پرپول می‌کنند نه جیب خودشان را.

از اینها گذشته، این افزونه جستجوهای کاربر را در گوگل یا یاندکس جاسوسی می‌کند و اگر جستجوی فرد در مورد رمزارزها باشد، در صفحه‌ی نتایج جستجو لینک‌هایی که به سایت‌های فیشینگ هدایت می‌شوند جاگذاری می‌کند.

روش دیگر برای بازتوزیعِ سکه‌ها جایگزین کردن تمام آدرس‌های کیف‌پول (یا کدهای QR) روی صفحه‌ی وب با آدرس‌های کیف‌پول‌های متعلق به مجرمان سایبری است.

در ادامه همچنین برای کاربران مرورگرهای آلوده بنرهایی تبلیغاتی (برای مثال روی Vkontakte  یا یوتیوب) می‌آید که در آن‌ها پیشنهاداتی رنگ‌ولعب‌دار به چشم می‌خورد: مثلاً «با کمی سرمایه‌گذاری در آینده‌ای نزدیک میلیونر شوید»، «درآمدزایی تنها از طریق جستجوی آنلاین» و غیره. از همه بدتر بنر جعلی روی صفحات ویکی‌پدیا است که از کاربران تقاضای پشتیبانی از پروژه را دارد.

راه‌های مقابله با تروجان Razy

تروجان Razy در پوشش نرم‌افزاری مفید توزیع می‌شود (از طریق برنامه‌های آشنا) و شاید هم از طریق سرویس‌های میزبان مختلف و رایگانِ فایل بتوانند دانلود شوند؛ بنابراین به منظور مقابله با آن به شما موارد زیر را توصیه می‌کنیم:

• اپ‌ها را تنها از وبسایت‌ها و منابع توسعه‌دهنده‌ی که به آن اطمینان کامل دارید دانلود کنید.
• به محض متوجه شدن مورد مشکوک روی کامپیوتر خود، دستگاه را اسکن کنید (برای مثال پدیدار شدن ابزارهای بهینه‌سازِ ناآشنا) که می‌تواند نشان دهد داشتید فریب یک بدافزار را می‌خوردید.
• پلاگین‌های مرورگر را که یکباره ظهور می‌کنند چک کرده و هر کدام از آن‌ها که مشکوک است غیرفعال کنید.

[1] Man-in-the-browser

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.