روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ درست بعد از کریسمس، اخباری شنیدیم از حمله‌ی چند مرحله‌ای که توسعه‌دهندگان افزونه‌های محبوب کروم را هدف قرار داده بود. بزرگ‌ترینِ این توسعه‌دهندگان یک افزونه امنیت سایبری بود ساخت Cyberhaven که پیش از تعطیلات دستکاری شده بود. وقتی این رخداد برملاشد، دیدیم فهرست شامل 35 افزونه محبوب می‌شود با جمع کلیِ 2.5 میلیون نصب. هدف مهاجمین سرقت داده از مرورگرهای کاربرانی بود که آپدیت‌های تروجان‌زده‌ی این افزونه‌ها را نصب کرده بودند. تمرکز این کمپین سرقت اطلاعات لاگین سرویس‌های متا بود تا بتوانند اکانت‌های تجاری را دستکاری کرده و هزینه نمایش آگهی‌ها هم گردن قربانی بیافتد. با این وجود، این تنها داده‌ای نیست که افزونه‌های مخرب می‌توانند از مرورگرها بدزدند. ما در ادامه توضیح داده‌ایم این حمله چطور کار می‌کند و برای محافظت از خود در برابر آن در مراحل مختلف باید اقداماتی انجام داد.

حمله به توسعه‌دهندگان: سوءاستفاده OAuth

برای تزریق عملکرد تروجان به افزونه‌های محبوب کروم، مجرمان سایبری نقشه فیشینگ اورجینالی توسعه داده‌اند. آن‌ها ایمیل‌هایی با پوشش هشدارهای استاندارد گوگل که ادعا می‌کنند افزونه‌شان خط‌مشی‌های کروم وب استور را نقض کرده و نیاز به شرح دارد برای توسعه‌دهندگان می‌فرستند. متن و طرح‌بندی پیام از ایمیل‌های معمول گوگل تقلید می‌کند پس قربانی اغلب در چنین مواقعی قانع می‌شود. افزون بر این، ایمیل اغلب از دامنه‌ای ارسال می‌گردد که برای حمله به افزونه‌ای خاص راه‌اندازی شده و حاوی نام افزونه در بخش نام دامنه‌اش است. کلیک روی لینک داخل ایمیل، کاربر را به صفحه قانونی احراز هویت گوگل می‌برد. بعد از آن توسعه‌دهنده یک صفحه پیام استاندارد دیگری از گوگل را مشاهده می‌کند تا در آن از طریق OAuth به اپی موسوم به Privacy Policy Extension وارد شود و به عنوان بخشی از پروسه احراز، به یک سری مجوزها دسترسی پیدا کند. این رویه استاندارد روی صفحات قانونی گوگل اتفاق می‌افتد به استثنای اینکه اپ Privacy Policy Extension درخواست می‌کند سایر افزونه‌ها را نیز در کروم وب استور منتشر کند. اگر این مجوز داده شود، سازندگان Privacy Policy Extension می‌توانند آپدیت‌های کروم وب استور را به جای قربانی منتشر کنند. در این سناریو، نیازی نیست مهاجمین دست به سرقت پسورد و سایر اطلاعات توسعه‌دهنده بزنند یا احراز هویت چندعاملی را دور بزنند. فقط برای دسترسی به مجوزها برای فریب توسعه‌دهندگان و مجاب کردنشان در احراز نشر آپدیت‌ها در افزونه‌های خود از سیستم گوگل سوءاستفاده می‌کنند. با قضاوت بر اساس فهرست بلند بالای دامنه‌های ثبت‌شده توسط مهاجمین، آن‌ها تلاش داشتند به بیش از 35 افزونه حمله کنند. در مواردی که حمله موفقیت‌آمیز بوده، نسخه آپدیت‌شده افزونه را منتشر کردند و دو فایل برای سرقت کوکی‌های فیسبوک و سایر داده‌ها (worker.js و content.js) افزودند.

حمله به کاربران

افزونه‌های کروم معمولاً به صورت خودکار آپدیت دریافت می‌کنند؛ پس کاربرانی که بین تاریخ 25 تا 31 دسامبر دستگاه‌ها را سوئیچ کردند و کروم را باز نمودند ممکن است آپدیت آلوده‌ی افزونه‌ی از قبل نصب‌شده را دریافت کرده باشند. در این رخداد، اسکریپت مخرب مرورگر قربانی را اجرا نموده داده‌های لازم برای دستکاری اکانت‌های تجاری فیسبوک را در سرور مهاجمین ارسال می‌کند. افزون بر شناساگرهای فیسبوک و کوکی‌ها، این بدافزار اطلاعات لازم برای لاگین به اکانت تبلیغاتی تارگت را مانند داده‌های کاربر-عامل برای شناسایی مرورگر کاربر سرقت می‌کند. در سایت فیسوک حتی داده‌های کلیک روی موس هم رهگیری شده تا عاملین تهدید بتوانند CAPTCHA و احراز هویت دوعاملی را دور بزنند. اگر قربانی برای شرکت یا تجارت خصوصی‌اش روی متا تبلیغات را مدیریت کرده باشد، مجرمان سایبری باید بودجه تبلیغاتی خود را روی آگهی‌های خود خرج کنند- معمولاً تبلیغ اسکم و سایت‌های مخرب. ورای همه این خسارات مستقیم مالی، سازمان مورد هدف با خطرات قانونی و خدشه‌دار شدن اعتبارش هم مواجه می‌شود زیرا آگهی‌های تقلبی با نام آن، منتشر شده‌اند. این بدافزار می‌تواند به طور متقاعدکننده‌ای داده‌ها را از سایر سایت‌ها نیز بدزدد. پس ارزش دارد که حتی اگر تبلیغات فیسبوکی را برای یک شرکت مدیریت نمی‌کنید هم باز مرورگرتان را بررسی نمایید.

اگر آپدیت افزونه آلوده نصب کردیم چه کنیم؟

برای متوقف کردن سرقت اطلاعات از مرورگرتان، اولین کار آن‌اینستال کردن افزونه دستکاری‌شده یا آپدیت ان به نسخه پچ‌شده است. متأسفانه صرف آن‌اینستال کردن یا آپدیت افزونه آلوده کفایت نمی‌کند. باید همچنین هر پسورد یا کلید API را که در مرورگر ذخیره شده بوده یا از آن در طول دوره رخداد استفاده می‌شده ریست کنید. سپس لاگ‌های موجود را برای علائم ارتباطی با سرورهای مهاجم بررسی کنید. IoCها همه‌جا هستند. اگر ارتباط با سرورهای آلوده شکل گرفته بود، دنبال رد و اثری از دسترسی غیرقانونی در همه سرویس‌هایی باشید که در مرورگر آلوده باز شده بودند. بعد از آن اگر متا یا هر اکانت تبلیغاتی دیگری از مرورگر آلوده مورد دسترسی قرار گرفته بود به طور دستی همه تبلیغات در حال اجرا را بررسی نموده و هر فعالیت غیرقانونی تبلیغاتی را که پیدا کردید متوقف کنید. در آخر، هر سشن دستکاری‌شده اکانت فیسبوک را روی همه دستگاه‌ها (از سایر دستگاه‌ها لاگ‌اوت کنید) دی‌اکتیویت کنید، کش مرورگر و کوکی‌ها را پاک، از نو به فیسبوک وارد شده و پسورد اکانت را تغییر دهید.

آنچه از این رخداد آموختیم

این رخداد نمونه دیگری است از حملات زنجیره تأمین. در مورد کروم، این حقیقت که آپدیت‌ها خودکار نصب می‌شود بی‌آنکه کاربر اطلاعی داشته باشد کار را بدتر می‌کند. گرچه آپدیت‌ها معمولاً چیز خوبی هستند اما مکانیزم آپدیت خودکار به افزونه‌های مخرب اجازه می‌دهد تا بسیار سریع بخش شوند. برای کاهش ریسک‌های چنین سناریویی، به شرکت‌ها توصیه می‌شود اقدامات زیر را انجام دهند:

•         از خط‌مشی‌های گروه یا کنسول گوگل ادمین برای محدود کردن نصب افزونه‌های مرورگر در فهرستی قابل‌اعتماد استفاده کنید.
•         لیستی از افزونه‌های مورد اعتماد را بر اساس نیازهای تجاری و اقدامات آی‌تی از سوی توسعه‌دهندگان افزونه‌های مذکور تهیه کنید. پین نسخه را برای غیرفعال کردن آپدیت‌های خودکار افزونه به کار ببرید. در عین حال نیاز خواهد بود که رویه‌ای را برای نظارت آپدیت و بروزرسانی متمرکز افزونه‌های تأییدشده توسط ادمین‌ها در نظر بگیرد.
•         راهکار EDR را روی همه دستگاه‌های سازمان‌تان نصب کنید تا با بدافزاها مبارزه کرده و  رخدادهای مشکوک را نظارت کند.

شرکت‌هایی که نرم‌افزار منتشر می‌کنند (از جمله افزونه‌های وبی) باید تضمین دهند مجوز نشر به تعداد کمی از کارمندان داده می‌شود- ایده‌آلش این است که این مجوز از ایستگاه کاری ممتاز باشد با لایه‌های اضافی از محافظت شامل احراز هویت چندعاملی و کنترل کنترل راه‌اندازی برنامه با پیکربندی دقیق و دسترسی به وب‌سایت. کارمندان مجاز به نشر باید آموزش امنیت اطلاعات ببینند و با جدیدترین تاکتیک‌های مهاجمین مانند فیشینگ هدف‌دار یا نیزه‌ای آشنا باشند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.