کرومیک کمپین حمله جدید، افزونه‌های شناخته‌شده مرورگر کروم را هدف قرار داده است، که منجر به در معرض خطر قرار گرفتن حداقل ۱۶ افزونه و قرار گرفتن بیش از ۶۰۰٫۰۰۰ کاربر در معرض سرقت اطلاعات و اعتبار است.

این حمله ناشران برنامه‌های افزودنی مرورگر در فروشگاه وب کروم را از طریق یک کمپین فیشینگ هدف قرار داد و از مجوزهای دسترسی آن‌ها برای درج کد مخرب در برنامه‌های افزودنی قانونی به‌منظور سرقت کوکی‌ها و نشانه‌های دسترسی کاربر استفاده کرد.

اولین شرکتی که قربانی این کمپین شد، شرکت امنیت سایبری Cyberhaven بود که یکی از کارمندان آن در ۲۴ دسامبر هدف حمله فیشینگ قرار گرفت و به عوامل تهدید اجازه داد نسخه مخرب برنامه افزودنی را منتشر کنند.

در ۲۷ دسامبر، Cyberhaven فاش کرد[۱] که یک عامل تهدید پسوند مرورگر خود را به خطر انداخته و کد مخرب را برای برقراری ارتباط با یک سرور فرمان و کنترل خارجی (C&C) واقع در دامنه cyberhavenext[.]pro، دانلود فایل‌های پیکربندی اضافی و exfiltrate کردن داده‌های کاربر استفاده کرده است.

ایمیل فیشینگ، که ظاهراً از پشتیبانی برنامه‌نویس فروشگاه وب گوگل کروم می‌آید، با ادعای اینکه برنامه افزودنی آن‌ها در معرض خطر قریب‌الوقوع حذف از فروشگاه برنامه‌نویسی است و به استناد نقض خط‌مشی‌های برنامه توسعه‌دهنده[۲]، به دنبال ایجاد حس فوریت نادرست بود.

همچنین از گیرنده خواست تا روی پیوندی کلیک کند تا خط‌مشی‌ها را بپذیرد و به دنبال آن به صفحه‌ای برای اعطای مجوز به یک برنامه مخرب OAuth به نام «افزودن سیاست حفظ حریم خصوصی» هدایت شدند.

Cyberhaven گفت[۳]: “مهاجم مجوزهای لازم را از طریق برنامه مخرب (“Privacy Policy Extension”) به دست آورد و یک برنامه افزودنی مخرب Chrome را در فروشگاه وب کروم آپلود کرد. پس از فرآیند بررسی امنیت فروشگاه وب Chrome معمولی، افزونه مخرب برای انتشار تائید شد.”

Or Eshed، مدیرعامل [۴]LayerX Security، که در امنیت افزونه مرورگر تخصص دارد، می‌گوید: «افزونه‌های مرورگر نقطه‌ضعف نرم امنیت وب هستند. اگرچه ما تمایل داریم افزونه‌های مرورگر را بی‌ضرر بدانیم، اما در عمل، اغلب مجوزهای گسترده‌ای به اطلاعات حساس کاربر مانند کوکی‌ها، نشانه‌های دسترسی، اطلاعات هویتی و موارد دیگر داده می‌شود.

Eshed می‌گوید: «بسیاری از سازمان‌ها حتی نمی‌دانند چه افزونه‌هایی روی endpoint خود نصب‌کرده‌اند و از میزان قرار گرفتن در معرض آن‌ها آگاه نیستند.»

Jamie Blasco، CTO شرکت امنیتی SaaS Nudge Security، دامنه‌های دیگری را شناسایی کرد[۵] که به همان آدرس IP سرور C&C مورداستفاده برای نقض Cyberhaven حل می‌شوند.

طبق ضمیمه امن پلتفرم امنیتی افزونه مرورگر، تحقیقات بیشتر افزونه‌های بیشتری[۶] [کاربرگ‌ گوگل] را کشف کرده است که مشکوک به خطر افتادن هستند[۷]:

  • AI Assistant – ChatGPT and Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vindoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus
  • Tackker – online keylogger tool
  • AI Shop Buddy
  • Sort by Oldest
  • Rewards Search Automator
  • ChatGPT Assistant – Smart Search
  • Keyboard History Recorder
  • Email Hunter
  • Visual Effects for Google Meet
  • Earny – Up to 20% Cash Back

این افزونه‌های در معرض خطر اضافی نشان می‌دهد که Cyberhaven یک هدف یک‌باره نبوده، بلکه بخشی از یک کمپین حمله در مقیاس گسترده است که برنامه‌های افزودنی قانونی مرورگر را هدف قرار می‌دهد.

John Tuckner، بنیان‌گذار Secure Annex به The Hacker News گفت که این احتمال وجود دارد که این کمپین از ۵ آوریل ۲۰۲۳ ادامه داشته باشد، و احتمالاً حتی بیشتر بر اساس تاریخ ثبت دامنه‌های استفاده‌شده ادامه داشته است: nagofsg[.]com در ماه اوت ثبت شد. ۲۰۲۲ و sclpfybn[.]com در جولای ۲۰۲۱ ثبت شد.

Tuckner گفت: «من همان کد موجود در حملات Cyberhaven را به کدهای مرتبط (مثلاً Code1) در افزونه‌ای به نام «Mode Reader» پیوند داده‌ام. “کد موجود در “حالت خواننده” حاوی کد حمله Cyberhaven (کد۱) و یک نشانگر اضافی از سازش “sclpfybn[.]com” با کد اضافی خود (Code2) بود.”

چرخش در آن دامنه من را به هفت برنامه افزودنی جدید هدایت کرد. یکی از آن افزونه‌های مرتبط به نام «Rewards Search Automator» دارای (Code2) بود که خود را به‌عنوان عملکرد «مرور ایمن» پنهان می‌کرد اما داده‌ها را استخراج می‌کرد.

“”Rewards Search Automator” همچنین دارای عملکرد “تجارت الکترونیک” پوشانده شده (Code3) با دامنه جدید “tnagofsg[.]com” است که ازنظر عملکردی بسیار شبیه به “مرور ایمن” است. با جستجوی بیشتر در این دامنه، من Earny – Up to 20% Cash Back را پیدا کردم که هنوز کد “تجارت الکترونیک” در آن وجود دارد (Code3) و آخرین بار در ۵ آوریل ۲۰۲۳ به‌روز شده بود.

Cyberhaven می‌گوید که نسخه مخرب افزونه مرورگر حدود ۲۴ ساعت پس از انتشار آن حذف شد. برخی از دیگر برنامه‌های افزودنی افشاشده نیز قبلاً به‌روزرسانی یا از فروشگاه وب Chrome حذف‌شده‌اند.

به گفته Or Eshed، بااین‌حال، این واقعیت که افزونه از فروشگاه کروم حذف شده است به این معنی نیست که قرار گرفتن در معرض آن تمام شده است. او می‌گوید: «تا زمانی که نسخه در معرض خطر برنامه افزودنی هنوز در نقطه پایانی فعال است، هکرها همچنان می‌توانند به آن دسترسی داشته باشند و داده‌ها را استخراج کنند.»

محققان امنیتی به جستجوی افزونه‌های در معرض دید اضافی ادامه می‌دهند، اما پیچیدگی و دامنه این کمپین حمله، تلاش بسیاری از سازمان‌ها را برای ایمن کردن برنامه‌های افزودنی مرورگرشان افزایش داده است.

در حال حاضر مشخص نیست چه کسی پشت این کمپین است و آیا این سازش‌ها مرتبط هستند یا خیر. هکر نیوز برای نظر بیشتر با گوگل تماس گرفته است و در صورت شنیدن خبر، داستان را به‌روز خواهیم کرد.

منابع

[۱] https://www.cyberhaven.com/blog/cyberhavens-chrome-extension-security-incident-and-what-were-doing-about-it

[۲] https://developer.chrome.com/docs/webstore/program-policies

[۳] https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension

[۴] https://layerxsecurity.com

[۵] https://x.com/jaimeblascob/status/1872445912175534278

[۶] https://docs.google.com/spreadsheets/d/15xOLbYgz5DQnCWYE6a_LXGcqYC_bNPPzdBqdLofz6-E/edit?gid=0#gid=0

[۷] https://secureannex.com/blog/cyberhaven-extension-compromise/

[۸] https://thehackernews.com/2024/12/16-chrome-extensions-hacked-exposing.html