میلیونها کاربر مرورگرهای کروم و مایکروسافت اِج قربانی شدند
به گزارش اول فارس، بیش از دو میلیون کاربر گوگل کروم و مایکروسافت اِج قربانی آن چیزی شدهاند که پژوهشگران امنیت سایبری شرکت کوی سکیوریتی (Koi Security) آن را یک «کارزار بدافزاری پیشرفته» مینامند؛ یکی از بزرگترین عملیاتهای ربایش مرورگر که این شرکت تاکنون کشف کرده است.
این کارزار که «رد دایرکشن» (RedDirection) نامگذاری شده، بر پایه مجموعهای از ۱۸ افزونه مخرب مرورگر شکل گرفته بود که از طریق فروشگاه رسمی کروم گوگل و افزونههای مرورگر اِج مایکروسافت قابل دانلود بودند. طبق گزارش ۸ ژوئیه (۱۸ تیر) کوی سکیوریتی، تمامی این افزونهها که شناسههایشان در پایان این مقاله آمده، اکنون از هر دو پلتفرم حذف شدهاند.
این افزونههای مخرب در ظاهر قانونی بهنظر میرسیدند و ابزارهایی مانند پراکسی ویپیان برای تیکتاک و دیسکورد، ابزارهای باز کردن یوتیوب، پیشبینی آبوهوا، کنترلکننده سرعت ویدیو و صفحهکلید ایموجی را ارائه میدادند؛ اما در پشتصحنه، طبق یافتههای کوی سکیوریتی، بهطور پنهانی فعالیتهای مرور کاربران را ردیابی میکردند، نشانی (URL) صفحات بازدیدشده را جمعآوری میکردند و شناسههای پیگیری منحصربهفرد کاربران را به بیرون انتقال میدادند.
ایدان داردیکمن از کوی سکیوریتی نوشت: «اینها حملات فرضی یا نظری نیستند… با نظارت بر ۲.۳ میلیون کاربر از طریق هجده افزونه مختلف، این کارزار، توان بالقوه و عظیمی برای اجرای حملات مداوم مرد میانی (Man-in-the-Middle) ایجاد میکند که میتواند در هر لحظه مورد سوءاستفاده قرار گیرد. هر کلیک، هر بازدید از وبسایت و هر تراکنش آنلاین، به یک مسیر احتمالی برای حمله در این شبکه وسیع تبدیل میشود.»
این بدافزار آنگونه که داردیکمن توضیح میدهد، از یک «مکانیزم پیچیده ربایش مرورگر» بهره میبرد که هر بار کاربر وارد یک وبسایت جدید میشود، فعال میشود. این بدافزار میتواند نشانی (URL) وبسایت را ثبت کرده و همراه با شناسه رهگیری منحصربهفرد کاربر به یک سرور راه دور ارسال کند. همچنین، هکرها قادرند بدافزار را طوری تنظیم کنند که کاربران را بهصورت خودکار به وبسایتهای دیگر؛ که ممکن است مخرب باشند؛ منتقل کند.
اگرچه کوی سکیوریتی این عملیات را بهطور علنی به بازیگر تهدید خاص یا دولت مشخصی نسبت نداده، اما پژوهشگران آن «رد دایرکشن» را تلاشی بسیار سازمانیافته و «بهویژه فریبکارانه» توصیف کردهاند که از نظر گستردگی، یکی از بزرگترین عملیاتهای ربایش مرورگر است که تاکنون مستند کردهاند. بسیاری از این افزونهها در آغاز دقیقاً همان عملکردی را ارائه میدادند که تبلیغ میکردند؛ همین موضوع نیز موجب شد که امتیازات مثبتی از کاربران بگیرند و مظنون نشوند، حتی در فروشگاههای رسمی مرورگر.
داردیکمن در گزارش نوشت: «تصور کنید وارد وبسایت بانک خودتان میشوید… افزونه، درخواست شما را ثبت میکند و بیهیچ نشانهای، شما را به یک نسخه جعلی کاملاً مشابه صفحه ورود بانکتان منتقل میسازد که بر روی سرورهای مهاجم قرار دارد. شما اطلاعات ورودتان را وارد میکنید، با این تصور که دارید با امنیت وارد حسابتان میشوید؛ اما در واقع اطلاعات بانکی خود را به مجرمان سایبری تحویل دادهاید.»
کوی سکیوریتی به کاربران توصیه کرده است اگر یکی از ۱۸ افزونه مربوط به کارزار RedDirection را نصب کردهاند، فوراً آن را حذف کنند و سپس دادههای مرورگر خود را پاک کنند تا هرگونه شناسه رهگیری ذخیرهشده روی رایانهشان نیز حذف شود. این شرکت همچنین کاربران را به اجرای یک اسکن کامل بدافزار در سیستمشان برای شناسایی دیگر آلودگیها تشویق کرده و پیشنهاد داده که حسابهای کاربری خود را برای هرگونه فعالیت مشکوک زیر نظر بگیرند.
بررسی فروشگاه افزونههای کروم گوگل و بازار افزونههای مرورگر اِج مایکروسافت نشان میدهد که ۱۸ افزونه مرتبط با این کارزار دیگر برای دانلود در دسترس نیستند.
اپک تایمز برای دریافت نظر با گوگل و مایکروسافت تماس گرفته است.
فهرست افزونههای مخرب شناساییشده که به کارزار RedDirection مرتبط هستند، بههمراه شناسههای منحصربهفرد هر افزونه، در ادامه آمده است:
افزونههای کروم:
Emoji keyboard online—copy & paste your emoji (ID: kgmeffmlnkfnjpgmdndccklfigfhajen)
Free Weather Forecast (ID: dpdibkjjgbaadnnjhkmmnenkmbnhpobj)
Video Speed Controller—Video manager (ID: gaiceihehajjahakcglkhmdbbdclbnlf)
Unlock Discord—VPN Proxy to Unblock Discord Anywhere (ID: mlgbkfnjdmaoldgagamcnommbbnhfnhf)
Dark Theme—Dark Reader for Chrome (ID: eckokfcjbjbgjifpcbdmengnabecdakp)
Volume Max—Ultimate Sound Booster (ID: mgbhdehiapbjamfgekfpebmhmnmcmemg)
Unblock TikTok—Seamless Access with One-Click Proxy (ID: cbajickflblmpjodnjoldpiicfmecmif)
Unlock YouTube VPN (ID: pdbfcnhlobhoahcamoefbfodpmklgmjm)
Color Picker, Eyedropper—Geco colorpick (ID: eokjikchkppnkdipbiggnmlkahcdkikp)
Weather (ID: ihbiedpeaicgipncdnnkikeehnjiddck)
افزونههای مرورگر اِج:
Unlock TikTok (ID: jjdajogomggcjifnjgkpghcijgkbcjdi)
Volume Booster—Increase your sound (ID: mmcnmppeeghenglmidpmjkaiamcacmgm)
Web Sound Equalizer (ID: ojdkklpgpacpicaobnhankbalkkgaafp)
Header Value (ID: lodeighbngipjjedfelnboplhgediclp)
Flash Player—games emulator (ID: hkjagicdaogfgdifaklcgajmgefjllmd)
Youtube Unblocked (ID: gflkbgebojohihfnnplhbdakoipdbpdm)
SearchGPT—ChatGPT for Search Engine (ID: kpilmncnoafddjpnbhepaiilgkdcieaf)
Unlock Discord (ID: caibdnkmpnjhjdfnomfhijhmebigcelo)