میلیون‌ها کاربر مرورگرهای کروم و مایکروسافت اِج قربانی شدند

به گزارش اول فارس، بیش از دو میلیون کاربر گوگل کروم و مایکروسافت اِج قربانی آن چیزی شده‌اند که پژوهشگران امنیت سایبری شرکت کوی‌ سکیوریتی (Koi Security) آن را یک «کارزار بدافزاری پیشرفته» می‌نامند؛ یکی از بزرگ‌ترین عملیات‌های ربایش مرورگر که این شرکت تاکنون کشف کرده است.

این کارزار که «رد دایرکشن» (RedDirection) نام‌گذاری شده، بر پایه مجموعه‌ای از ۱۸ افزونه مخرب مرورگر شکل گرفته بود که از طریق فروشگاه رسمی کروم گوگل و افزونه‌های مرورگر اِج مایکروسافت قابل دانلود بودند. طبق گزارش ۸ ژوئیه (۱۸ تیر) کوی‌ سکیوریتی، تمامی این افزونه‌ها که شناسه‌هایشان در پایان این مقاله آمده، اکنون از هر دو پلتفرم حذف شده‌اند.

این افزونه‌های مخرب در ظاهر قانونی به‌نظر می‌رسیدند و ابزارهایی مانند پراکسی وی‌پی‌ان برای تیک‌تاک و دیسکورد، ابزارهای باز کردن یوتیوب، پیش‌بینی آب‌وهوا، کنترل‌کننده سرعت ویدیو و صفحه‌کلید ایموجی را ارائه می‌دادند؛ اما در پشت‌صحنه، طبق یافته‌های کوی‌ سکیوریتی، به‌طور پنهانی فعالیت‌های مرور کاربران را ردیابی می‌کردند، نشانی (URL) صفحات بازدیدشده را جمع‌آوری می‌کردند و شناسه‌های پیگیری منحصربه‌فرد کاربران را به بیرون انتقال می‌دادند.

ایدان داردیکمن از کوی سکیوریتی نوشت: «این‌ها حملات فرضی یا نظری نیستند… با نظارت بر ۲.۳ میلیون کاربر از طریق هجده افزونه مختلف، این کارزار، توان بالقوه و عظیمی برای اجرای حملات مداوم مرد میانی (Man-in-the-Middle) ایجاد می‌کند که می‌تواند در هر لحظه مورد سوءاستفاده قرار گیرد. هر کلیک، هر بازدید از وب‌سایت و هر تراکنش آنلاین، به یک مسیر احتمالی برای حمله در این شبکه وسیع تبدیل می‌شود.»

این بدافزار آن‌گونه که داردیکمن توضیح می‌دهد، از یک «مکانیزم پیچیده ربایش مرورگر» بهره می‌برد که هر بار کاربر وارد یک وب‌سایت جدید می‌شود، فعال می‌‌شود. این بدافزار می‌تواند نشانی (URL) وب‌سایت را ثبت کرده و همراه با شناسه رهگیری منحصربه‌فرد کاربر به یک سرور راه دور ارسال کند. همچنین، هکرها قادرند بدافزار را طوری تنظیم کنند که کاربران را به‌صورت خودکار به وب‌سایت‌های دیگر؛ که ممکن است مخرب باشند؛ منتقل کند.

اگرچه کوی سکیوریتی این عملیات را به‌طور علنی به بازیگر تهدید خاص یا دولت مشخصی نسبت نداده، اما پژوهشگران آن «رد دایرکشن» را تلاشی بسیار سازمان‌یافته و «به‌ویژه فریبکارانه» توصیف کرده‌اند که از نظر گستردگی، یکی از بزرگ‌ترین عملیات‌های ربایش مرورگر است که تاکنون مستند کرده‌اند. بسیاری از این افزونه‌ها در آغاز دقیقاً همان عملکردی را ارائه می‌دادند که تبلیغ می‌کردند؛ همین موضوع نیز موجب شد که امتیازات مثبتی از کاربران بگیرند و مظنون نشوند، حتی در فروشگاه‌های رسمی مرورگر.

داردیکمن در گزارش نوشت: «تصور کنید وارد وب‌سایت بانک خودتان می‌شوید… افزونه، درخواست شما را ثبت می‌کند و بی‌هیچ نشانه‌ای، شما را به یک نسخه جعلی کاملاً مشابه صفحه ورود بانک‌تان منتقل می‌سازد که بر روی سرورهای مهاجم قرار دارد. شما اطلاعات ورودتان را وارد می‌کنید، با این تصور که دارید با امنیت وارد حساب‌تان می‌شوید؛ اما در واقع اطلاعات بانکی خود را به مجرمان سایبری تحویل داده‌اید.»

کوی سکیوریتی به کاربران توصیه کرده است اگر یکی از ۱۸ افزونه مربوط به کارزار RedDirection را نصب کرده‌اند، فوراً آن را حذف کنند و سپس داده‌های مرورگر خود را پاک کنند تا هرگونه شناسه رهگیری ذخیره‌شده روی رایانه‌شان نیز حذف شود. این شرکت همچنین کاربران را به اجرای یک اسکن کامل بدافزار در سیستم‌شان برای شناسایی دیگر آلودگی‌ها تشویق کرده و پیشنهاد داده که حساب‌های کاربری خود را برای هرگونه فعالیت مشکوک زیر نظر بگیرند.

بررسی فروشگاه افزونه‌های کروم گوگل و بازار افزونه‌های مرورگر اِج مایکروسافت نشان می‌دهد که ۱۸ افزونه مرتبط با این کارزار دیگر برای دانلود در دسترس نیستند.

اپک تایمز برای دریافت نظر با گوگل و مایکروسافت تماس گرفته است.

فهرست افزونه‌های مخرب شناسایی‌شده که به کارزار RedDirection مرتبط هستند، به‌همراه شناسه‌های منحصربه‌فرد هر افزونه، در ادامه آمده است:

افزونه‌های کروم:

Emoji keyboard online—copy & paste your emoji (ID: kgmeffmlnkfnjpgmdndccklfigfhajen)
Free Weather Forecast (ID: dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
Video Speed Controller—Video manager (ID: gaiceihehajjahakcglkhmdbbdclbnlf)
Unlock Discord—VPN Proxy to Unblock Discord Anywhere (ID: mlgbkfnjdmaoldgagamcnommbbnhfnhf)
Dark Theme—Dark Reader for Chrome (ID: eckokfcjbjbgjifpcbdmengnabecdakp)
Volume Max—Ultimate Sound Booster (ID: mgbhdehiapbjamfgekfpebmhmnmcmemg)
Unblock TikTok—Seamless Access with One-Click Proxy (ID: cbajickflblmpjodnjoldpiicfmecmif)
Unlock YouTube VPN (ID: pdbfcnhlobhoahcamoefbfodpmklgmjm)
Color Picker, Eyedropper—Geco colorpick (ID: eokjikchkppnkdipbiggnmlkahcdkikp)
Weather (ID: ihbiedpeaicgipncdnnkikeehnjiddck)
 افزونه‌های مرورگر اِج:

Unlock TikTok (ID: jjdajogomggcjifnjgkpghcijgkbcjdi)
Volume Booster—Increase your sound (ID: mmcnmppeeghenglmidpmjkaiamcacmgm)
Web Sound Equalizer (ID: ojdkklpgpacpicaobnhankbalkkgaafp)
Header Value (ID: lodeighbngipjjedfelnboplhgediclp)
Flash Player—games emulator (ID: hkjagicdaogfgdifaklcgajmgefjllmd)
Youtube Unblocked (ID: gflkbgebojohihfnnplhbdakoipdbpdm)
SearchGPT—ChatGPT for Search Engine (ID: kpilmncnoafddjpnbhepaiilgkdcieaf)
Unlock Discord (ID: caibdnkmpnjhjdfnomfhijhmebigcelo)