Google Chrome: مراقب افزونه های مخرب باشید که همه چیز شما را ضبط می کند

نویسنده : دپارتمان فنی شرکت ارتباط امن - شنبه 5 اسفند 1396 در ساعت 18:55:52

گوگل 89 افزونه مخرب را از Chrome Web Store حذف کرده است که بر روی بیش از 420،000 مرورگر نصب شده، آنها را به بردگان معدن کاوی Monero تبدیل کرده و ابزارهایی برای ضبط فعالیت های کاربران و وبسایت های بازدید شده توسط آنها را نصب نموده اند.

محققان در Trend Micro آن را از خانواده Droidclub می دانند و آنها در طی این کشف به یک کتابخانه نرم افزاری با نام “session-reply scripts” برخوردند که توسط شرکت های تحلیلی آنلاین استفاده می شود.

مرکز فن آوری اطلاعات پرینستون در ماه نوامبر توجه خود را به افزایش استفاده از session-replay scripts توسط شرکت های تحلیلی ثالث در وب سایت های با حجم ترافیک بالا معطوف نمود.

این مطالعه در مورد سرویس های بازخوردی از Yandex، FullStory، Hotjar، UserReplay، Smartlook، Clicktale، و SessionCam که بر روی نزدیک بر 500 سایت محبوب یافت می شود، بوده است.

اسکریپتها به صاحبان سایت ها اجازه می دهد که با استفاده از ضبط و بازبینی «کلید ها، حرکات ماوس و رفتار پیمایشی، همراه با محتوای تمام صفحاتی که بازدید کننده رویت کرده است را مشاهده نمایند».

اما به جای اجازه دادن به یک صاحب سایت برای ضبط و بازیابی آنچه کاربران در یک سایت انجام میدهند، افزونه های Droidclub به مهاجم اجازه می دهد تا رفتار کاربر در تمامی سایت هایی که بازدید می کند را ببیند.

Joseph Chen آنالیزور کلاهبرداری در Trend Micro گفت: “این اسکریپتها به هر وبسایتی که کاربر بازدید می کند تزریق می شوند. این کتابخانه ها برای استفاده مجدد بازدید کاربر از یک وب سایت مورد استفاده قرار می گیرند، به طوری که صاحب سایت می تواند ببیند کاربر چه چیزی را دیده و چه چیزی را وارد سیستم کرده است.”

محققان دیگر این امکان را قبلا مطرح کرده بودند که این کتابخانه ها ممکن است مورد سوء استفاده قرار گیرند، اما این اولین بار است که ما شاهد چنین اتفاقی بوده ایم.”

98 افزونه مخرب مجموعه ای عجیب و غریب از ابزارهای مختلف مانند آشپزی و دکوراسیون منزل است که قربانیان به احتمال زیاد به Chrome Web Store مراجعه نکرده و آنها را جستجو نمی کنند.

در عوض، مهاجمان ترکیبی از تبلیغات مخرب و مهندسی اجتماعی را برای جلب نظر قربانیان برای نصب افزونه ها استفاده کرده اند. یک آگهی مخرب به عنوان یک پیام خطا ظاهر می شود و به قربانی پیغام می دهد که برای مشاهده محتوای مسدود شده باید یک افزونه را از Chrome Web Store دانلود و نصب نماید.

Chen می گوید که افزونه ها یک اسکریپت پخش و بازبینی از کتابخانه ی جاوا اسکریپت Yandex Metrica را مورد استفاده قرار می دهند.

افزونه، همراه با کتابخانه، به مهاجم اجازه می دهد اطلاعات وارد شده در فرم ها، از جمله نام ها، شماره های کارت اعتباری، شماره های CVV، آدرس های ایمیل و شماره تلفن ها را سرقت کند. بنا به گفته Chen، پسورد ها به سرقت نمی روند.

Google در بیانیه ای به Trend Micro گفت است که افزونه ها را بر روی دستگاه های تمام کاربران مسدود کرده است.

و اگرچه Google کاربران را تشویق می کند تا برنامه های مخرب را گزارش دهند، افزونه های Droidclub برای خنثی کردن این روند طراحی شده اند.

اگر کاربران سعی کنند یک افزونه را از طریق Chrome Web Store گزارش دهند، در نهایت به صفحه معرفی افزونه منتقل می شوند. تلاش برای حذف افزونه نیز کاربر را به یک صفحه جعلی هدایت می کند که به آنها می گوید افزونه حذف شده است، در صورتی که اصلا اینگونه نبوده و افزونه حذف نشده است.

همچنین ماه گذشته Google چهار افزونه مخرب را از Chrome Web Store حذف کرد که توسط 500.000 کاربر نصب شده بود.

افزودن دیدگاه جدید

دیدگاههای شما

لطفا برای ما پیام بگذارید

در حال حاظر کارشناس افلاین میباشد برای ما ایمیل ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید