کشف بیش از ۱۰۰ افزونه جعلی کروم که نشست‌ها را می‌ربایند، اطلاعات ورود را می‌دزدند و تبلیغات تزریق می‌کنند!

یک عامل تهدید ناشناخته از فوریه ۲۰۲۴ به ایجاد چندین افزونه مخرب مرورگر کروم[۱] نسبت داده شده است که خود را به‌عنوان ابزارهای به‌ظاهر بی‌خطر جا می‌زنند، اما قابلیت‌های پنهانی برای استخراج داده‌ها، دریافت دستورات و اجرای کد دلخواه در خود دارند.

تیم DomainTools Intelligence (DTI) در گزارشی که با The Hacker News به اشتراک گذاشته است، گفت[۲]: «این عامل تهدید، وب‌سایت‌هایی ایجاد می‌کند که خود را به‌عنوان سرویس‌های قانونی، ابزارهای بهره‌وری، دستیارهای ایجاد یا تحلیل تبلیغات و رسانه، سرویس‌های VPN، ارزهای دیجیتال، بانکداری و موارد دیگر جا می‌زنند تا کاربران را به نصب افزونه‌های مخرب مربوطه در فروشگاه وب کروم (CWS) گوگل هدایت کنند.»

درحالی‌که به نظر می‌رسد افزونه‌های مرورگر ویژگی‌های تبلیغ‌شده را ارائه می‌دهند، آن‌ها همچنین امکان سرقت اعتبارنامه و کوکی، ربودن جلسه، تزریق تبلیغات، تغییر مسیرهای مخرب، دست‌کاری ترافیک و فیشینگ از طریق دست‌کاری DOM را فراهم می‌کنند.

عامل دیگری که به نفع افزونه‌ها عمل می‌کند این است که آن‌ها طوری پیکربندی شده‌اند که از طریق فایل manifest.json به خود مجوزهای بیش‌ازحد اعطا کنند و به آن‌ها اجازه دهند با هر سایتی که در مرورگر بازدید می‌شود، تعامل داشته باشند، کد دلخواه بازیابی شده از یک دامنه تحت کنترل مهاجم را اجرا کنند، تغییر مسیرهای مخرب انجام دهند و حتی تبلیغات تزریق کنند.

همچنین مشخص شده است که این افزونه‌ها برای اجرای کد، به کنترل‌کننده رویداد onreset[3] در یک عنصر مدل شیء سند موقت (DOM) احتمالاً در تلاش برای دور زدن سیاست امنیتی محتوا (CSP) متکی هستند.

برخی از وب‌سایت‌های فریب‌دهنده شناسایی‌شده، محصولات و خدمات قانونی مانند DeepSeek، Manus، DeBank، FortiVPN و Site Stats را جعل می‌کنند تا کاربران را به دانلود و نصب افزونه‌ها ترغیب کنند. سپس افزونه‌ها کوکی‌های مرورگر را جمع‌آوری می‌کنند، اسکریپت‌های دلخواه را از یک سرور از راه دور دریافت می‌کنند و یک اتصال WebSocket راه‌اندازی می‌کنند تا به‌عنوان یک پروکسی شبکه برای مسیریابی ترافیک عمل کند.

در حال حاضر هیچ دیدی در مورد نحوه هدایت قربانیان به سایت‌های جعلی وجود ندارد، اما DomainTools به این نشریه گفت که می‌تواند شامل روش‌های معمول مانند فیشینگ و رسانه‌های اجتماعی باشد.

این شرکت اعلام کرد: «ازآنجاکه آن‌ها هم در فروشگاه وب کروم ظاهر می‌شوند و هم وب‌سایت‌های مجاور دارند، می‌توانند به‌عنوان نتایج جستجوهای وب معمولی و جستجوهای داخل فروشگاه کروم نمایش داده شوند. بسیاری از وب‌سایت‌های فریبنده از شناسه‌های ردیابی فیس‌بوک استفاده می‌کردند که قویاً نشان می‌دهد که آن‌ها به‌نوعی از برنامه‌های فیس‌بوک/متا احتمالاً از طریق صفحات، گروه‌ها و حتی تبلیغات فیس‌بوک برای جذب بازدیدکنندگان سایت استفاده می‌کنند.»

در زمان نگارش این مطلب، مشخص نیست چه کسی پشت این کمپین است، اگرچه عوامل تهدید بیش از ۱۰۰ وب‌سایت جعلی و افزونه‌های مخرب کروم راه‌اندازی کرده‌اند. گوگل، به‌نوبه خود، این افزونه‌ها را حذف کرده است.

برای کاهش خطرات، به کاربران توصیه می‌شود قبل از دانلود افزونه‌ها، به توسعه‌دهندگان تأییدشده مراجعه کنند، مجوزهای درخواستی را بررسی کنند، نظرات را به‌دقت بررسی کنند و از استفاده از افزونه‌های مشابه خودداری کنند.

با این اوصاف، همچنین باید در نظر داشت که رتبه‌بندی‌ها می‌توانند با فیلتر کردن بازخوردهای منفی کاربران دست‌کاری و به‌صورت مصنوعی افزایش یابند.

DomainTools، در تحلیلی که اواخر ماه گذشته منتشر شد، شواهدی از افزونه‌هایی یافت[۴] که خود را به‌جای DeepSeek جا می‌زدند و کاربرانی را که امتیاز پایین (۱-۳ ستاره) ارائه می‌دادند، به یک فرم بازخورد خصوصی در دامنه ai-chat-bot[.]pro هدایت می‌کردند، درحالی‌که کاربرانی را که امتیاز بالا (۴-۵ ستاره) ارائه می‌دادند، به صفحه رسمی بررسی فروشگاه وب کروم می‌فرستادند.

به‌روزرسانی

در یک تحلیل تکمیلی، LayerX اعلام کرد که بیش از ۴۰ افزونه مخرب مرورگر را شناسایی کرده است که بخشی از سه کمپین فیشینگ مجزا هستند و بسیاری از آن‌ها هنوز برای دانلود از فروشگاه وب کروم در دسترس هستند.

این شرکت امنیتی مرورگر اعلام کرد که این افزونه‌ها برای جعل هویت ابزارها/برندهای محبوب طراحی شده‌اند و ساختار، قالب‌بندی و زبان مشابهی را نشان می‌دهند و این احتمال را افزایش می‌دهد که ممکن است با استفاده از ابزارهای هوش مصنوعی به‌صورت خودکار تولید شده باشند.

LayerX گفت: “این تاکتیک به مهاجمان اجازه می‌دهد تا به‌سرعت تلاش‌های خود را در ده‌ها ابزار جعلی با حداقل تلاش دستی گسترش دهند. این افزونه‌ها به مهاجمان دسترسی مداوم به جلسات کاربر را می‌دهند و امکان سرقت داده‌ها، جعل هویت و ورود بالقوه به محیط‌های سازمانی را فراهم می‌کنند.”

اِشد، مدیرعامل LayerX Security، خاطرنشان کرد که حذف افزونه‌ها از فروشگاه وب کروم، آن‌ها را به‌طور خودکار از دستگاه‌های کاربران نهایی حذف نمی‌کند و کاربران را ملزم به حذف دستی آن‌ها می‌کند. لیست کامل افزونه‌ها را می‌توانید اینجا[۵] مشاهده کنید.

اِشد گفت: «این مشکل به‌ویژه در سازمان‌ها وجود دارد، جایی که حتی یک حساب کاربری یا حساب کاربری شرکتیِ در معرض خطر می‌تواند منجر به افشای اطلاعات در سطح سازمانی شود. بهترین توصیه ما به سازمان‌ها این است که هر یک از این افزونه‌ها را به‌صورت جداگانه بررسی کنند تا مطمئن شوند که از تمام نقاط کاربری سازمانی حذف شده‌اند.»

«علاوه بر این، ما سازمان‌ها را تشویق می‌کنیم که قوانین امنیتی پیشگیرانه افزونه‌ها را برای مسدود کردن شاخص‌های کلیدی خطر مانند افزونه‌هایی با ناشران تأیید نشده یا افزونه‌هایی که با دامنه‌های مشکوک ارتباط برقرار می‌کنند، به‌کارگیرند.»

منابع

[۱] https://github.com/DomainTools/SecuritySnacks/blob/main/2025/DualFunction-Malware-Chrome-Extensions

[۲] https://dti.domaintools.com/dual-function-malware-chrome-extensions

[۳] https://developer.mozilla.org/en-US/docs/Web/API/HTMLFormElement/reset_event

[۴] https://dti.domaintools.com/deceptive-browser-extensions-google-store-ai-slop

[۵] https://layerxsecurity.com/blog/layerx-reveals-40malicious-browser-extensions

[۶] https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html