مهاجمان یک افزونه Web Developer که متعلق به مرورگر Chrome است و بیش از ۱ میلیون کاربر دارد را دزدیدند!

در طی چند سال گذشته، Spammerها و مجرمان سایبری، افزونه‌های وب را از توسعه‌دهندگان آن‌ها می‌خریدند و سپس آن‌ها را بدون اطلاع کاربرانشان به‌روزرسانی می‌کردند و به‌منظور دستیابی به درآمدهای کلان، تبلیغات وسیعی را به هر وب‌سایتی که کاربر بازدید می‌کرد از طریق این افزونه تزریق می‌کردند.

اما در حال حاضر، این مجرمان مدل کسب‌وکار خود را عوض کرده‌اند و به‌جای سرمایه‌گذاری، موج جدیدی از حملات phishing را آغاز کردند و به این هدف که افزونه‌های معروف مرورگرها را بدزدند.

در همین دو روز پیش، گزارشی منتشر شد مبنی بر اینکه چگونه مجرمان اینترنتی برنامه‌ریزی کردند تا اکانت یک فروشگاه وب در Chrome را که متعلق به یک تیم از سازندگان آلمانی بود را به خطر انداخته و افزونه Copyfish را بدزدند[۱] و سپس آن را توسط اضافه کردن قابلیت تزریق تبلیغات به‌روزرسانی کرده تا مکاتبات دارای Spam را بین کاربران این افزونه گسترش دهند.

در طی روز گذشته نیز یک افزونه معروف Chrome به نام Web Developer توسط مهاجمان ناشناخته دزدیده شده است[۲] و با به‌روزرسانی این افزونه این افراد به‌طور مستقیم تبلیغات را به مرورگر وب متعلق به ۱ میلیون کاربر تزریق کردند.

Chris Pederick که سازنده افزونه Web Developer در Chrome است و ابزارهای توسعه وب مختلفی را به کاربرانش ارائه می‌دهد، هشدار داد[۳] که در اواخر روز چهارشنبه (۲ اوت ۲۰۱۷) ، مهاجمان ناشناخته‌ای ظاهراً اکانت گوگل او را دزدیده و این افزونه را به نسخه ۰٫۴٫۹ به‌روزرسانی کردند و آن را بر روی ۱٫۰۴۴٫۰۰۰ کاربر اعمال کرده‌اند.

در هردوی این موارد، مهاجمان سایبری در ابتدا از روش phishing استفاده کردند تا به اکانت‌های گوگل سازندگان دسترسی پیدا کنند و افزونه‌های مربوطه را بدزدند و سپس آن‌ها را به‌روزرسانی کرده تا توسط آن‌ها حملات مخرب خود را انجام دهند.

بااین‌حال، نسخه فایرفاکس هردوی این افزونه‌ها آلوده نشده است.

به گفته سازنده این افزونه، نرم‌افزارهای مخرب، کد جاوا اسکریپت را از وب پیدا کرده و آن را در مرورگرهای وب کاربران به‌منظور اعمال تبلیغات و در صفحات وب تزریق می‌کنند.

این افزونه تقریباً به هر چیزی که در مرورگر کاربر اتفاق می‌افتد، دسترسی دارد و می‌تواند هر کاری را ازجمله خواندن تمام محتوای وب‌سایت برای ردیابی ترافیک و ضبط کردن کلیدهای فشرده‌شده بر روی صفحه‌کلید را انجام دهد.

بنابراین، ربودن افزونه Web Developer می‌تواند یک کابوس برای کاربران باشد، مخصوصاً برای کسانی که طراحان حرفه‌ای هستند و با استفاده از یک مرورگر مشابه به حساب‌های رسمی خود (وب‌سایت، میزبانی وب یا ایمیل) دسترسی دارند.

Pederick گفت است که نسخه ۰٫۴٫۹ از این نرم‌افزار ممکن است بدتر هم باشد، اما در عرض پنج تا شش ساعت از آلوده شدن این افزونه، او متوجه ساختار مخرب این افزونه شد و آن را از فروشگاه Chrome حذف کرد و سپس یک ساعت پس‌ازآن، افزونه موردنظر را اصلاح کرد.

بااین‌حال، این کد مخرب اجازه داد تا مجرمان سایبری پول زیادی را از طریق تبلیغات و در طی چند ساعت که جاوا اسکریپت مخرب فعال بود، به دست آورند.

به کاربران افزونه Web Developer شدیداً توصیه می‌شود تا هر چه سریع‌تر افزونه خود را به نسخه ۰٫۵ به‌روزرسانی کنند.

کاربران همچنین باید کلمات عبور خود را برای همه حساب‌های وبِ خود تغییر دهند و همچنین کوکی‌های متعلق به وب‌سایت‌هایی که در هنگام استفاده از این افزونه مشاهده کردند را حذف کنند.

منابع

[۱] http://thehackernews.com/2017/07/chrome-extention-hacking-adware.html

[۲]https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm?hl=en-US

[۳] https://twitter.com/chrispederick/status/892768218162487300

[۴] http://thehackernews.com/2017/08/chrome-extension-for-web-developers.html