افزونه‌های مخرب مرورگر، میلیون‌ها کاربر کروم و اج را در یک کمپین جاسوسی ۷ ساله آلوده کردند

در یک عملیات سایبری پیچیده که هفت سال به طول انجامیده، افزونه‌های به ظاهر بی‌خطر مرورگرهای گوگل کروم و مایکروسافت اج، بیش از ۴.۳ میلیون کاربر را به بدافزارهای درب پشتی و جاسوس‌افزارهای پیشرفته آلوده کرده‌اند. این بدافزارها اطلاعات حساس کاربران را به سرورهایی در چین منتقل می‌کردند. محققان امنیتی "کوی" که این کمپین را "شیدی‌پاندا" (ShadyPanda) نامگذاری کرده‌اند، اعلام کرده‌اند که پنج مورد از این افزونه‌های مخرب با بیش از ۴ میلیون نصب، همچنان در فروشگاه افزونه‌های مایکروسافت اج فعال هستند و تهدیدی جدی برای حریم خصوصی کاربران محسوب می‌شوند.

کمپین شومی که افزونه‌های معتبر را به ابزار جاسوسی تبدیل کرد

استراتژی مهاجمان پشت کمپین "شیدی‌پاندا" بر یک "بازی بلندمدت" استوار بود. آن‌ها ابتدا افزونه‌هایی را منتشر می‌کردند که کاملاً قانونی به نظر می‌رسیدند و هیچ فعالیت مشکوکی نداشتند. این افزونه‌ها طی سال‌ها، هزاران و گاهی میلیون‌ها بار دانلود شده و از طریق بازخوردهای مثبت کاربران و حتی دریافت وضعیت "ویژه" و "تأییدشده" از سوی مارکت‌پلیس‌ها، اعتماد عمومی را جلب می‌کردند. اما پس از تثبیت جایگاه و جذب کاربران فراوان، مهاجمان یک به‌روزرسانی حاوی بدافزار را منتشر می‌کردند که به‌صورت خودکار در پایگاه کاربری گسترده آن‌ها نصب می‌شد.

این رویکرد نشان می‌دهد که فرآیند بازبینی اولیه افزونه‌ها توسط فروشگاه‌های آنلاین کافی نیست و نظارت مستمر بر به‌روزرسانی‌های بعدی افزونه‌ها یک حلقه مفقوده در امنیت دیجیتال است.

بسیاری از این افزونه‌های مخرب با وعده افزایش بهره‌وری، ابزارهای کارآمدی را به کاربران ارائه می‌دادند تا هیچ شک و شبهه‌ای ایجاد نشود.

جزئیات حملات افزونه‌های مخرب: از بدافزارهای درب پشتی تا جاسوس‌افزارها

محققان کوی فعالیت "شیدی‌پاندا" را در چندین فاز ردیابی کرده‌اند، که دو کمپین هنوز فعال هستند. در یکی از این کمپین‌ها، پنج افزونه، ۳۰۰ هزار کاربر را با یک بدافزار درب پشتی (backdoor) که قابلیت اجرای کد از راه دور را فراهم می‌کرد، آلوده کردند. سه مورد از این پنج افزونه بین سال‌های ۲۰۱۸ تا ۲۰۱۹ آپلود شده و وضعیت "ویژه" و "تأییدشده" را کسب کرده بودند. یکی از آن‌ها به نام "Clean Master" با بیش از ۲۰۰ هزار نصب، در اواسط سال ۲۰۲۴ یک به‌روزرسانی مخرب دریافت کرد.

این بدافزار، قابلیت نظارت کامل بر مرورگر را فراهم می‌کند:

هر ساعت یک‌بار برای دستورالعمل‌های جدید به سرورهای کنترلی متصل می‌شود.

جاوااسکریپت دلخواه را دانلود و با دسترسی کامل به API مرورگر اجرا می‌کند.

محتوای مخرب را به هر وب‌سایتی، از جمله اتصالات HTTPS، تزریق می‌کند.

"Clean Master" تمام داده‌های دزدیده‌شده شامل تمامی آدرس‌های URL بازدیدشده، الگوهای ناوبری، زمان‌بندی فعالیت‌ها، شناسه‌های یکتا و اثرانگشت کامل مرورگر را به سرورهای تحت کنترل "شیدی‌پاندا" ارسال می‌کرد. علاوه بر این، بدافزار دارای قابلیت‌های ضدتجزیه‌وتحلیل بود و در صورت باز شدن ابزارهای توسعه‌دهنده، رفتار خود را به حالت عادی تغییر می‌داد.

کمپین دیگری شامل پنج افزونه دیگر از همان ناشر بود که حدود سال ۲۰۲۳ در اج راه‌اندازی شد و اکنون بیش از چهار میلیون نصب ترکیبی دارد. یکی از این افزونه‌ها، "WeTab"، با سه میلیون نصب، پلتفرمی برای جاسوسی است که داده‌های کاربری گسترده‌ای را جمع‌آوری می‌کند:

تمام URLهای بازدیدشده

پرس‌وجوهای جستجو

ردیابی کلیک‌های ماوس

اثرانگشت مرورگر

داده‌های تعامل با صفحه

دسترسی به حافظه داخلی

تمام این اطلاعات به‌صورت بلادرنگ به ۱۷ دامنه مختلف (شامل ۸ سرور بایدو در چین و ۷ سرور "WeTab" در چین) و گوگل آنالیتیکس ارسال می‌شود.

پیامدهای گسترده و تفاوت رویکرد گوگل و مایکروسافت در مقابله با افزونه‌های مخرب

این کمپین‌ها یک مشکل اساسی در نحوه مدیریت افزونه‌ها توسط فروشگاه‌های آنلاین را نشان می‌دهد: "آن‌ها پس از تأیید اولیه، آنچه را که اتفاق می‌افتد نظارت نمی‌کنند." در حالی که گوگل تأیید کرده که هیچ یک از افزونه‌های مذکور در فروشگاه کروم وب استور فعال نیستند و تمامی به‌روزرسانی‌ها را بررسی می‌کند، مایکروسافت به درخواست‌های "رجیستر" برای اظهار نظر پاسخی نداده است و برخی از این افزونه‌ها همچنان در فروشگاه اج فعال هستند. این تفاوت در رویکرد، کاربران اج را در معرض خطر جدی‌تری قرار می‌دهد.

برای محافظت در برابر افزونه‌های مخرب، کاربران باید به نکات زیر توجه کنند:

بررسی دقیق مجوزها: قبل از نصب هر افزونه، مجوزهای درخواستی آن را به دقت بررسی کنید. افزونه‌های بهره‌وری نباید به تاریخچه مرورگر یا اطلاعات شخصی دسترسی داشته باشند.

بررسی اعتبار ناشر و نظرات کاربران: به ناشر افزونه و نظرات کاربران توجه کنید. نظرات بسیار مثبت و غیرواقعی می‌تواند نشانه‌ای از دستکاری باشد.

استفاده از نرم‌افزارهای امنیتی: یک آنتی‌ویروس معتبر و به‌روز می‌تواند به شناسایی فعالیت‌های مشکوک کمک کند.

چالش‌های پیش رو برای امنیت افزونه‌های مرورگر و کاربران

نمونه "شیدی‌پاندا" نشان می‌دهد که تهدیدات سایبری تکامل یافته و مهاجمان به دنبال راه‌هایی برای دور زدن مکانیزم‌های امنیتی اولیه هستند. تمرکز بر نظارت مستمر و بهبود فرآیندهای بازبینی پس از انتشار، برای تأمین امنیت افزونه‌های مرورگر حیاتی است. این کمپین‌های طولانی‌مدت بر اهمیت هوشیاری کاربران و مسئولیت‌پذیری پلتفرم‌ها در قبال حفظ امنیت سایبری تأکید می‌کنند.

برای توسعه‌دهندگان پلتفرم و فروشگاه‌های افزونه، درس‌های کلیدی شامل موارد زیر است:

نظارت مستمر: پیاده‌سازی مکانیزم‌های خودکار و دستی برای نظارت بر رفتار افزونه‌ها پس از نصب و در طول زمان.

سیاست‌های سخت‌گیرانه‌تر برای به‌روزرسانی‌ها: بازبینی دقیق‌تر به‌روزرسانی‌ها، به‌ویژه آن‌هایی که مجوزهای جدیدی درخواست می‌کنند یا تغییرات عمده در کد دارند.

استفاده از هوش مصنوعی و یادگیری ماشین: بهره‌گیری از فناوری‌های پیشرفته برای شناسایی الگوهای رفتاری مشکوک و غیرعادی در افزونه‌ها.

مجله تخصصی هک و امنیت

---

مطالب مرتبط

• افزایش نگرانی‌ها از امنیت ایجنت‌های هوش مصنوعی: هکرها می‌توانند هویت دیجیتال کاربران را بربایند
• پسوردهای رایج جهانی، کاربران را با وجود هشدارهای امنیتی، همچنان در معرض تهدید جدی قرار می‌دهند
• پروتکل احراز هویت NTLM مایکروسافت همچنان در کانون توجه هکرها قرار دارد
• دستور قاطع سنگاپور به گوگل و اپل برای مقابله با پیامک‌های دولتی جعلی، تحولات فناوری آسیا را رقم می‌زند