روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما اغلب در رشته مقالات خود به خطراتی که افزونه‌های مرورگر می‌توانند داشته باشند اشاره می‌کنیم. در این مقاله قصد داریم نگاهی بیاندازیم به جالب‌ترین، نامعمول‌ترین، خطرناک‌ترین و شایع‌ترین موارد شامل افزونه‌های مخرب در سال 2023. همچنین توضیح خواهیم داد این افزونه‌ها چه قابلیت‌هایی داشتند و البته چطور می‌شود در برابر آن‌ها از خود محافظت کنیم. با ما همراه باشید.

افزونه Roblox با بک‌در

برای اشاره به بزرگ‌ترین نگرانی‌های مربوط به افزونه‌های خطرناک بگذارید ابتدا با داستانی که سال گذشته پیش آمد شروع کنیم. نوامبر 2022 دو افزونه مخرب با یک نام (سرچ‌باکس) در وب استور کروم کشف شدند (همان فروشگاه رسمی برای افزونه‌های مرورگر گوگل کروم). یکی از این افزونه‌ها بیش از 200 هزار بار دانلود شده بود. هدف افزونه‌ها آنطور که اعلام شده بود سرچ پلیر خاصی روی سرورهای  Roblox بود. با این وجود، هدف واقعی سرقت اکانت‌ پلیرهای  Roblox و نیز به جیب زدن دارایی‌های درون‌گیمی بود. بعد از اینکه اطلاعات این افزونه‌های مخرب در BleepingComputer منتشر شد آن‌ها را از روی وب استور کروم برداشتند و خودکار از دستگاه کاربرانی که آن‌ها را نصب کرده بودند حذف کردند.

با این همه،  Roblox ماجرایش به همینجا ختم نمی‌شود. آگست 2023 دو افزونه مخرب دیگر با ماهیت مشابه - RoFinder و RoTracker- در وب‌اسور کروم کشف شدند. درست مانند سرچ‌باکس، این پلاگین‌ها به کاربران قابلیت سرچ سایر پلیرها روی سرورهای Roblox را می‌دادند اما در واقع بک‌دری در آن‌ها جاساز شده بود. جامعه کاربری Roblox در نهایت تصمیم گرفت این افزونه‌ها را نیز از فروشگاه حذف کند.

این نشان می‌دهد کیفین مدارسیون در رسمی‌ترین پلت‌فرم جهان نیز برای دانلود افزونه‌های گوگل کروم از استاندارد کلی به دور است و خیلی راحت می‌شود سازندگان افزونه‌های مخرب دست در این فضا مانور دهند. برای اینکه مدراتورها متوجه حضور این افزونه‌های خطرناک شوند و آن‌ها را از فروشگاه بردارند، نظرات کاربری تعدادشان کم است و اغلب این تلاش را باید رسانه انجام دهد؛ همینطور محققین امنیتی و جامعه آنلاین.

افزونه‌های تقلبی ChatGPT که اکانت‌های فیسبوکی را سرقت می‌کردند

مارس 2023 دو افزونه مخرب با چند روز فاصله با هم در وب استور گوگل کروم کشف شد. یکی از این‌ها نسخه آلوده ChatGPT قانونی گوگل بود که انسجام جواب های ChatGPT را در نتایج موتور جست‌وجو ارائه می‌داد. افزونه ChatGPT گوگلیِ آلوده در وب استور گوگل در تاریخ 14 فوریه سال 2023 آپلود شد. سازندگان آن کمی صبر کردند و درست یک ماه بعد دست به توزیع آن زدند (تاریخ 14 مارس 2023). آن‌ها این کار را با استفاده از آگهی‌های گوگل سرچ انجام دادند. مجرمان تصمیم گرفتند هر روز هزار کاربر جدید را جذب کنند و همین به دانلود بیش از 9 هزار بار –تا زمانی که تهدید کشف شد- منتج شد.

نسخه‌ی تروجان‌زده‌ی ChatGPT for Google کارکردی مانند نسخه واقعی‌اش داشت اما بیشتر به سمت آلوده بودن متمایل بود: نسخه آلوده شامل کد اضافی طراحی‌شده برای سرقت کوکی‌های سشن فیسبوک ذخیره‌شده در مرورگر می‌شد. با استفاده از این فایل‌ها مهاجمین توانستند اکانت فیسبوک کاربری را که افزونه آلوده را نصب کرده بودند سرقت کنند. اکانت‌های دستکاری‌شده سپس برای مقاصد شرورانه مورد استفاده قرار می‌گرفتند. بعنوان مثال محققین به اکانت فیسبوکی متعلق به فروشنده RV که بعد از سرقت شروع کرده بود به ترویج محتوای داعش اشاره کردند.

در مورد بعدی، کلاهبرداران افزونه تماماً اورجینالی به نام Quick access to Chat GPT یا همان دسترسی سریع به چت جی‌پی‌تی ساختند. در واقع این افزونه همانی بود که وعده داده شد بود و حکم واسط بین کاربران و چت‌جی‌پی‌تی را داشت. این افزونه از از API رسمی سرویس هوش مصنوعی استفاده می‌کرد اما هدف اصلی‌اش سرقت کوکی‌های سشن فیسبوک بود و این به سازندگان افزونه اجازه می‌داد تا اکانت‌های تجاری فیسبوک را سرقت کنند. از همه جالبتر اینکه برای ترویج این افزونه مخرب، عاملین تهدید از آگهی‌های فیسبوکی استفاده می‌کردند (هزینه‌ها با همان اکانت‌های تجاری سرقتی پرداخت شده بود!). این نقشه زیرکانه به سازندگان Quick access to Chat GPT اجازه می‌دا چند هزار کاربر جدید را در روز به خود جذب کنند. در نهایت هر دو افزونه مخرب از فروشگاه حذف شدند.

ChromeLoader: محتوای دزدی حاوی افزونه‌های مخرب

اغلب، سازندگان افزونه‌های مخرب آنها را در فروشگاه وب Google Chrome قرار نمی‌دهند و به روش‌های دیگری توزیع می‌کنند. به عنوان مثال، در اوایل سال جاری، محققین متوجه کمپین مخرب جدیدی در رابطه با بدافزار ChromeLoader شدند که قبلاً در زمینه امنیت سایبری شناخته شده بود. هدف اصلی این تروجان نصب یک افزونه مخرب در مرورگر قربانی است. این برنامه افزودنی، به نوبه خود، تبلیغات مزاحم را در مرورگر نمایش می دهد و نتایج جستجو را با لینک‌هایی که منجر به جوایز جعلی، نظرسنجی، سایت های دوستیابی، بازی های بزرگسالان، نرم افزارهای ناخواسته و غیره می‌شود، جعل می‌کند. امسال، مهاجمین از انواع محتوای غیرقانونی به عنوان طعمه استفاده کرده‌اند تا قربانیان را وادار به نصب ChromeLoader کنند. به عنوان مثال، در فوریه 2023، محققین گسترش ChromeLoader را از طریق فایل‌های VHD  (فرمت تصویر دیسک) که به‌عنوان بازی‌های هک شده یا «کرک‌های» بازی پنهان شده بودند، گزارش کردند.

از جمله بازی های مورد استفاده توزیع کنندگان می‌توان به Elden Ring، ROBLOX، Dark Souls 3، Red Dead Redemption 2، Need for Speed، Call of Duty، Portal 2، Minecraft، Legend of Zelda، Pokemon، Mario Kart، Animal Crossing و غیره اشاره کرد. همانطور که ممکن است حدس بزنید، همه این فایل های VHD حاوی نصب کننده افزونه مخرب بودند. چند ماه بعد، در ژوئن 2023، گروه دیگری از محققین گزارش مفصلی در مورد فعالیت‌های همان ChromeLoader منتشر کردند که جزئیات گسترش آن را از طریق شبکه‌ای از سایت‌هایی که موسیقی، فیلم‌های غیرقانونی، و بار دیگر بازی‌های رایانه‌ای را ارائه می‌کردند پوشش می‌داد. در این کمپین، به جای محتوای واقعی، فایل‌های VBScript بر روی رایانه‌های قربانیان دانلود  و سپس پسوند مرورگر مخرب بارگیری و نصب می‌شد.

اگرچه نتایج جستجوی تغییر یافته به سرعت قربانیان را از وجود برنامه افزودنی خطرناک در مرورگر خود آگاه می‌کند، خلاص شدن از شر آن چندان آسان نیست. ChromeLoader نه تنها افزونه مخرب را نصب بلکه اسکریپت ها و وظایف Windows Task Scheduler را نیز به سیستم اضافه می‌کند که هر بار که سیستم راه اندازی مجدد می شود، افزونه را مجدداً نصب می‌کند.

خواندن مکاتبه‌های جیمیلی هکرها با استفاده از افزونه‌های جاسوسی

در مارس 2023، اداره فدرال آلمان برای حفاظت از قانون اساسی و آژانس اطلاعات ملی کره جنوبی گزارش مشترکی در مورد فعالیت های گروه مجرم سایبری کیمسوکی منتشر کرد. این گروه از یک افزونه آلوده برای مرورگرهای مبتنی بر Chromium - Google Chrome، Microsoft Edge، و همچنین مرورگر کره جنوبی Naver Whale - برای خواندن مکاتبات Gmail قربانیان خود استفاده می‌کند.

حمله با ارسال ایمیل توسط عاملان برای افراد خاص مورد علاقه آغاز می‌شود. این ایمیل حاوی لینکی به یک افزونه مخرب به نام AF، همراه با متنی است که قربانی را متقاعد می کند تا آن را نصب کند. افزونه زمانی شروع به کار می‌کند که قربانی جیمیل را در مرورگری که در آن نصب شده است باز کند. سپس AF به طور خودکار مکاتبات قربانی را به سرور C2 هکرها ارسال می‌کند.

بنابراین، کیمسوکی[1] موفق می‌شود به محتویات صندوق پستی قربانی دسترسی پیدا کند. علاوه بر این، آنها برای هک کردن این صندوق پستی نیازی به استفاده از هیچ ترفندی ندارند. آنها به سادگی احراز هویت دو مرحله ای را دور می‌زنند. به عنوان یک امتیاز، این روش به آن‌ها اجازه می‌دهد تا همه چیز را به شیوه‌ای بسیار محتاطانه انجام دهند - به‌ویژه، جلوگیری از ارسال هشدار گوگل به قربانی در مورد دسترسی به حساب از یک دستگاه جدید یا مکان مشکوک، همانطور که در صورت دزدیده شدن گذرواژه اتفاق می‌افتد.

Rilide: افزونه آلوده که ارز دیجیتال سرقت می‌کند و احراز هویت دوعاملی را دور می‌زند

مجرمان همچنین اغلب از افزونه‌های مخرب برای هدف قرار دادن کیف پول‌های ارزهای دیجیتال استفاده می‌کنند. به ویژه، سازندگان افزونه Rilide که برای اولین بار در آوریل 2023 کشف شد، از آن برای ردیابی فعالیت مرورگرهای مرتبط با ارز دیجیتال کاربران آلوده استفاده می‌کنند. وقتی قربانی از یک لیست مشخص از سایت‌ها بازدید می‌کند، افزونه مخرب اطلاعات کیف پول ارزهای دیجیتال، ورود به ایمیل و گذرواژه‌ها را می‌دزدد. علاوه بر این، این افزونه تاریخچه مرورگر را جمع آوری و به سرور C2 ارسال کرده و به مهاجمین اجازه می دهد اسکرین شات بگیرند. اما جالب ترین ویژگی Rilide توانایی آن در دور زدن احراز هویت دو مرحله ای است. هنگامی که برنامه افزودنی تشخیص می‌دهد کاربر در حال انجام تراکنش ارز دیجیتال در یکی از سرویس های آنلاین است، اسکریپتی را به صفحه تزریق می‌کند که جایگزین گفتگوی ورودی کد تأیید شده و سپس آن کد را می دزدد. کیف پول گیرنده پرداخت با یک کیف پول متعلق به مهاجمین جایگزین گشته و در نهایت، برنامه افزودنی تراکنش را با استفاده از کد سرقت شده تأیید می‌کند.

Rilide به کاربران مرورگرهای مبتنی بر Chromium - Chrome، Edge، Brave و Opera -  با تقلید از یک افزونه قانونی Google Drive برای جلوگیری از سوء ظن حمله می‌کند. به نظر می رسد که Rilide به صورت آزاد در بازار سیاه فروخته شده، بنابراین توسط مجرمان غیر مرتبط با یکدیگر استفاده می شود. به همین دلیل، روش‌های توزیع مختلفی کشف شده است - از وب‌سایت‌ها و ایمیل‌های مخرب گرفته تا نصب‌کنندگان بازی‌های بلاک چین آلوده که در Twitter X تبلیغ می‌شوند. یکی از روش های بسیار جالب توزیع Rilide از طریق ارائه پاورپوینت گمراه کننده بود. این ارائه حکم راهنمای امنیتی برای کارمندان Zendesk را داشت اما در واقع یک راهنمای گام به گام برای نصب برنامه افزودنی مخرب بود.

ده‌ها افزونه مخرب در وب‌استور کروم با 8 میلیون بار دانلود (سر جمع)

و البته، نمی‌توان داستان تابستان را فراموش کرد، زمانی که محققین ده ها افزونه مخرب را در فروشگاه وب گوگل کروم کشف کردند، که در مجموع بیش از 87 میلیون دانلود از فروشگاه داشتند. اینها انواع مختلفی از پلاگین های مرورگر بودند - از ابزارهایی برای تبدیل فایل های PDF و بلاکرهای تبلیغات تا مترجم ها و وی‌پی‌ان‌ها.

افزونه‌ها در سال‌های 2022 و 2021 به فروشگاه وب کروم اضافه شدند، بنابراین زمانی که کشف شدند چندین ماه، یک سال یا حتی بیشتر در آنجا بودند. در میان بررسی‌های برنامه‌های افزودنی، شکایاتی از سوی کاربران هوشیار وجود داشت که گزارش دادند این افزونه‌ها نتایج جستجو را با تبلیغات جعل می‌کنند. متأسفانه، ناظران فروشگاه وب کروم این شکایات را نادیده گرفتند. پس از آن که دو گروه از محققین امنیتی این موضوع را به گوگل معرفی کردند، افزونه‌های مخرب از فروشگاه حذف شدند.

راهکارهای امنیتی

همانطور که می‌بینید، افزونه‌های خطرناک مرورگر می‌توانند از منابع مختلف - از جمله فروشگاه وب رسمی گوگل کروم  بر روی کامپیوتر شما قرار بگیرند. و مهاجمین می‌توانند از آنها برای اهداف مختلفی از سرقت حساب‌ها و تغییر نتایج جستجو گرفته تا خواندن مکاتبات و سرقت ارزهای دیجیتال استفاده کنند. بر این اساس، رعایت اقدامات احتیاطی مهم است:

•         سعی کنید از نصب افزونه‌های غیر ضروری مرورگر خودداری کنید. هرچه افزونه‌های کمتری در مرورگر خود داشته باشید، بهتر است.
•         اگر افزونه نصب می‌کنید، بهتر است آن را از یک فروشگاه رسمی نصب کنید تا از یک وب سایت ناشناس. مطمئناً، این خطر مواجهه با افزونه‌های خطرناک را به طور کامل از بین نمی برد، اما حداقل فروشگاه وب گوگل کروم امنیت آن را جدی می‌گیرد.
•         قبل از نصب، نظرات یک افزونه را بخوانید. اگر مشکلی در آن وجود داشته باشد، ممکن است شخصی قبلاً متوجه آن شده باشد و سایر کاربران را مطلع کرده باشد.
•         به طور دوره‌ای لیست افزونه های نصب شده در مرورگرهای خود را مرور کنید. هر موردی را که استفاده نمی کنید حذف کنید - به خصوص مواردی که به یاد ندارید نصب کرده باشید.
•         و مطمئن شوید که از محافظت قابل اعتماد در تمام دستگاه‌های خود استفاده کنید.

[1]گروه هکری حمایت شده از سوی دولت کره شمالی

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.