مبارزه با سرقت و تروجان‌زدگیِ افزونه‌های کروم

01 بهمن 1403 مبارزه با سرقت و تروجان‌زدگیِ افزونه‌های کروم

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ درست بعد از کریسمس، اخباری شنیدیم از حمله‌ی چند مرحله‌ای که توسعه‌دهندگان افزونه‌های محبوب کروم را هدف قرار داده بود. بزرگ‌ترینِ این توسعه‌دهندگان یک افزونه امنیت سایبری بود ساخت Cyberhaven که پیش از تعطیلات دستکاری شده بود. وقتی این رخداد برملاشد، دیدیم فهرست شامل 35 افزونه محبوب می‌شود با جمع کلیِ 2.5 میلیون نصب. هدف مهاجمین سرقت داده از مرورگرهای کاربرانی بود که آپدیت‌های تروجان‌زده‌ی این افزونه‌ها را نصب کرده بودند. تمرکز این کمپین سرقت اطلاعات لاگین سرویس‌های متا بود تا بتوانند اکانت‌های تجاری را دستکاری کرده و هزینه نمایش آگهی‌ها هم گردن قربانی بیافتد. با این وجود، این تنها داده‌ای نیست که افزونه‌های مخرب می‌توانند از مرورگرها بدزدند. ما در ادامه توضیح داده‌ایم این حمله چطور کار می‌کند و برای محافظت از خود در برابر آن در مراحل مختلف باید اقداماتی انجام داد.

حمله به توسعه‌دهندگان: سوءاستفاده OAuth

برای تزریق عملکرد تروجان به افزونه‌های محبوب کروم، مجرمان سایبری نقشه فیشینگ اورجینالی توسعه داده‌اند. آن‌ها ایمیل‌هایی با پوشش هشدارهای استاندارد گوگل که ادعا می‌کنند افزونه‌شان خط‌مشی‌های کروم وب استور را نقض کرده و نیاز به شرح دارد برای توسعه‌دهندگان می‌فرستند. متن و طرح‌بندی پیام از ایمیل‌های معمول گوگل تقلید می‌کند پس قربانی اغلب در چنین مواقعی قانع می‌شود. افزون بر این، ایمیل اغلب از دامنه‌ای ارسال می‌گردد که برای حمله به افزونه‌ای خاص راه‌اندازی شده و حاوی نام افزونه در بخش نام دامنه‌اش است. کلیک روی لینک داخل ایمیل، کاربر را به صفحه قانونی احراز هویت گوگل می‌برد. بعد از آن توسعه‌دهنده یک صفحه پیام استاندارد دیگری از گوگل را مشاهده می‌کند تا در آن از طریق OAuth به اپی موسوم به Privacy Policy Extension وارد شود و به عنوان بخشی از پروسه احراز، به یک سری مجوزها دسترسی پیدا کند. این رویه استاندارد روی صفحات قانونی گوگل اتفاق می‌افتد به استثنای اینکه اپ Privacy Policy Extension درخواست می‌کند سایر افزونه‌ها را نیز در کروم وب استور منتشر کند. اگر این مجوز داده شود، سازندگان Privacy Policy Extension می‌توانند آپدیت‌های کروم وب استور را به جای قربانی منتشر کنند. در این سناریو، نیازی نیست مهاجمین دست به سرقت پسورد و سایر اطلاعات توسعه‌دهنده بزنند یا احراز هویت چندعاملی را دور بزنند. فقط برای دسترسی به مجوزها برای فریب توسعه‌دهندگان و مجاب کردنشان در احراز نشر آپدیت‌ها در افزونه‌های خود از سیستم گوگل سوءاستفاده می‌کنند. با قضاوت بر اساس فهرست بلند بالای دامنه‌های ثبت‌شده توسط مهاجمین، آن‌ها تلاش داشتند به بیش از 35 افزونه حمله کنند. در مواردی که حمله موفقیت‌آمیز بوده، نسخه آپدیت‌شده افزونه را منتشر کردند و دو فایل برای سرقت کوکی‌های فیسبوک و سایر داده‌ها (worker.js و content.js) افزودند.

حمله به کاربران

افزونه‌های کروم معمولاً به صورت خودکار آپدیت دریافت می‌کنند؛ پس کاربرانی که بین تاریخ 25 تا 31 دسامبر دستگاه‌ها را سوئیچ کردند و کروم را باز نمودند ممکن است آپدیت آلوده‌ی افزونه‌ی از قبل نصب‌شده را دریافت کرده باشند. در این رخداد، اسکریپت مخرب مرورگر قربانی را اجرا نموده داده‌های لازم برای دستکاری اکانت‌های تجاری فیسبوک را در سرور مهاجمین ارسال می‌کند. افزون بر شناساگرهای فیسبوک و کوکی‌ها، این بدافزار اطلاعات لازم برای لاگین به اکانت تبلیغاتی تارگت را مانند داده‌های کاربر-عامل برای شناسایی مرورگر کاربر سرقت می‌کند. در سایت فیسوک حتی داده‌های کلیک روی موس هم رهگیری شده تا عاملین تهدید بتوانند CAPTCHA و احراز هویت دوعاملی را دور بزنند. اگر قربانی برای شرکت یا تجارت خصوصی‌اش روی متا تبلیغات را مدیریت کرده باشد، مجرمان سایبری باید بودجه تبلیغاتی خود را روی آگهی‌های خود خرج کنند- معمولاً تبلیغ اسکم و سایت‌های مخرب. ورای همه این خسارات مستقیم مالی، سازمان مورد هدف با خطرات قانونی و خدشه‌دار شدن اعتبارش هم مواجه می‌شود زیرا آگهی‌های تقلبی با نام آن، منتشر شده‌اند. این بدافزار می‌تواند به طور متقاعدکننده‌ای داده‌ها را از سایر سایت‌ها نیز بدزدد. پس ارزش دارد که حتی اگر تبلیغات فیسبوکی را برای یک شرکت مدیریت نمی‌کنید هم باز مرورگرتان را بررسی نمایید.

اگر آپدیت افزونه آلوده نصب کردیم چه کنیم؟

برای متوقف کردن سرقت اطلاعات از مرورگرتان، اولین کار آن‌اینستال کردن افزونه دستکاری‌شده یا آپدیت ان به نسخه پچ‌شده است. متأسفانه صرف آن‌اینستال کردن یا آپدیت افزونه آلوده کفایت نمی‌کند. باید همچنین هر پسورد یا کلید API را که در مرورگر ذخیره شده بوده یا از آن در طول دوره رخداد استفاده می‌شده ریست کنید. سپس لاگ‌های موجود را برای علائم ارتباطی با سرورهای مهاجم بررسی کنید. IoCها همه‌جا هستند. اگر ارتباط با سرورهای آلوده شکل گرفته بود، دنبال رد و اثری از دسترسی غیرقانونی در همه سرویس‌هایی باشید که در مرورگر آلوده باز شده بودند. بعد از آن اگر متا یا هر اکانت تبلیغاتی دیگری از مرورگر آلوده مورد دسترسی قرار گرفته بود به طور دستی همه تبلیغات در حال اجرا را بررسی نموده و هر فعالیت غیرقانونی تبلیغاتی را که پیدا کردید متوقف کنید. در آخر، هر سشن دستکاری‌شده اکانت فیسبوک را روی همه دستگاه‌ها (از سایر دستگاه‌ها لاگ‌اوت کنید) دی‌اکتیویت کنید، کش مرورگر و کوکی‌ها را پاک، از نو به فیسبوک وارد شده و پسورد اکانت را تغییر دهید.

آنچه از این رخداد آموختیم

این رخداد نمونه دیگری است از حملات زنجیره تأمین. در مورد کروم، این حقیقت که آپدیت‌ها خودکار نصب می‌شود بی‌آنکه کاربر اطلاعی داشته باشد کار را بدتر می‌کند. گرچه آپدیت‌ها معمولاً چیز خوبی هستند اما مکانیزم آپدیت خودکار به افزونه‌های مخرب اجازه می‌دهد تا بسیار سریع بخش شوند. برای کاهش ریسک‌های چنین سناریویی، به شرکت‌ها توصیه می‌شود اقدامات زیر را انجام دهند:

  •         از خط‌مشی‌های گروه یا کنسول گوگل ادمین برای محدود کردن نصب افزونه‌های مرورگر در فهرستی قابل‌اعتماد استفاده کنید.
  •         لیستی از افزونه‌های مورد اعتماد را بر اساس نیازهای تجاری و اقدامات آی‌تی از سوی توسعه‌دهندگان افزونه‌های مذکور تهیه کنید. پین نسخه را برای غیرفعال کردن آپدیت‌های خودکار افزونه به کار ببرید. در عین حال نیاز خواهد بود که رویه‌ای را برای نظارت آپدیت و بروزرسانی متمرکز افزونه‌های تأییدشده توسط ادمین‌ها در نظر بگیرد.
  •         راهکار EDR را روی همه دستگاه‌های سازمان‌تان نصب کنید تا با بدافزاها مبارزه کرده و  رخدادهای مشکوک را نظارت کند.

شرکت‌هایی که نرم‌افزار منتشر می‌کنند (از جمله افزونه‌های وبی) باید تضمین دهند مجوز نشر به تعداد کمی از کارمندان داده می‌شود- ایده‌آلش این است که این مجوز از ایستگاه کاری ممتاز باشد با لایه‌های اضافی از محافظت شامل احراز هویت چندعاملی و کنترل کنترل راه‌اندازی برنامه با پیکربندی دقیق و دسترسی به وب‌سایت. کارمندان مجاز به نشر باید آموزش امنیت اطلاعات ببینند و با جدیدترین تاکتیک‌های مهاجمین مانند فیشینگ هدف‌دار یا نیزه‌ای آشنا باشند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    10,070,400 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    15,110,400 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    7,555,200 ریال15,110,400 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    100,790,400 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    14,256,000 ریال28,512,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    20,443,200 ریال40,886,400 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    21,868,800 ریال43,737,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    90,715,200 ریال181,430,400 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    290,294,400 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    108,859,200 ریال217,718,400 ریال
    خرید
  • Kaspersky Small Office Security

    348,758,400 ریال
    خرید
  • Kaspersky Small Office Security

    127,003,200 ریال254,006,400 ریال
    خرید
  • Kaspersky Small Office Security

    406,214,400 ریال
    خرید
  • Kaspersky Small Office Security

    145,147,200 ریال290,294,400 ریال
    خرید
  • Kaspersky Small Office Security

    464,678,400 ریال
    خرید
  • Kaspersky Small Office Security

    163,291,200 ریال326,582,400 ریال
    خرید
  • Kaspersky Small Office Security

    522,134,400 ریال
    خرید
  • Kaspersky Small Office Security

    166,315,200 ریال332,630,400 ریال
    خرید
  • Kaspersky Small Office Security

    532,214,400 ریال
    خرید
  • Kaspersky Small Office Security

    234,355,200 ریال468,710,400 ریال
    خرید
  • Kaspersky Small Office Security

    749,942,400 ریال
    خرید
  • Kaspersky Small Office Security

    302,395,200 ریال604,790,400 ریال
    خرید
  • Kaspersky Small Office Security

    967,670,400 ریال
    خرید
  • Kaspersky Small Office Security

    365,395,200 ریال730,790,400 ریال
    خرید
  • Kaspersky Small Office Security

    1,169,270,400 ریال
    خرید
  • Kaspersky Small Office Security

    692,995,200 ریال1,385,990,400 ریال
    خرید
  • Kaspersky Small Office Security

    2,217,590,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد