امنیت زیرساختهای ارتباطی شرکتها و سازمانها با تهدیدی جدید و پنهان روبرو شده است که مستقیماً از درون مرورگرهای وب عمل میکند. نتایج تحقیقات اخیر پژوهشگران امنیتی نشان میدهد یک کارزار سایبری گسترده با نام «Zoom Stealer»، از طریق افزونههای مرورگر در پلتفرمهای کروم، فایرفاکس و مایکروسافت اج، اقدام به جمعآوری مخفیانه اطلاعات محرمانه جلسات آنلاین کرده است. این عملیات که تاکنون بیش از ۲.۲ میلیون کاربر را تحت تأثیر قرار داده، به یک گروه تهدید شناختهشده به نام DarkSpectre نسبت داده میشود که شواهد فنی حاکی از پیوند آن با زیرساختهای سایبری در شرق آسیا است.
مکانیزم فریبنده افزونههای مرورگر در کمپین زوم استیلر
آنچه این تهدید را از بدافزارهای سنتی متمایز میکند، ظاهر کاملاً کاربردی و بیخطر آن است. بسیاری از این افزونههای مرورگر که خدماتی نظیر ضبط صدا یا دانلود ویدیو از شبکههای اجتماعی را ارائه میدهند، سالها بدون هیچ مشکلی فعالیت کرده و اعتماد کاربران را جلب کردهاند. برای نمونه، افزونه “Chrome Audio Capture” با صدها هزار نصب فعال، در حالی که خدمات وعدهدادهشده را به درستی انجام میدهد، در پسزمینه به جمعآوری دادههای حساس مشغول است. این ابزارها پس از جلب اعتماد کاربر و تجمع تعداد بالایی از نصب، از طریق بهروزرسانیهای مخرب، کدهای جاسوسی خود را فعال میکنند.
هدفگیری ۲۸ پلتفرم ویدئوکنفرانس از جمله گوگلمیت و مایکروسافت تیمز
پژوهشگران شرکت Koi Security هشدار میدهند که این افزونههای مرورگر دسترسی به اطلاعات ۲۸ پلتفرم بزرگ ارتباطی از جمله زوم، سیسکو وباکس و گوگلمیت را درخواست میکنند. اطلاعاتی که توسط این جاسوسافزار استخراج میشود شامل موارد زیر است:
- لینکهای مستقیم جلسات، شناسهها (ID)، موضوعات بحث و حتی رمزهای عبور تعبیهشده در پیوندها.
- اطلاعات هویتی کامل شرکتکنندگان شامل نام، عنوان شغلی، عکس پروفایل و لوگوهای سازمانی که برای حملات جعل هویت استفاده میشوند.
خطرات جاسوسی صنعتی و حملات مهندسی اجتماعی
دادههای سرقت شده توسط DarkSpectre از طریق پروتکلهای “WebSocket” و به صورت بلادرنگ به سرورهای مهاجمان منتقل میشود. این حجم از اطلاعات طبقهبندی شده، بستری ایدهآل برای جاسوسی شرکتی و تحلیل استراتژیهای فروش رقبا فراهم میآورد. مهاجمان با در اختیار داشتن فهرست دقیق شرکتکنندگان و موضوعات مورد بحث، میتوانند حملات مهندسی اجتماعی بسیار باورپذیری را طراحی کنند یا با ورود ناخواسته به جلسات محرمانه، اطلاعات استراتژیک سازمانها را به سرقت ببرند.
راهکارهای مقابله و ضرورت بازنگری در دسترسیهای مرورگر
با توجه به اینکه برخی از این افزونهها همچنان در فروشگاههای رسمی وب در دسترس هستند، کارشناسان توصیه میکنند کاربران و مدیران IT سازمانها اقدامات پیشگیرانه شدیدی را اتخاذ کنند. بررسی دورهای لیست افزونهها و محدود کردن دسترسی آنها به وبسایتهای حساس، ابتداییترین قدم در تامین امنیت است.
- حذف افزونههای غیرضروری و ابزارهایی که دسترسیهای گسترده به تبهای باز مرورگر را درخواست میکنند.
- استفاده از نسخههای تحت اپلیکیشن (Desktop App) برای جلسات آنلاین به جای نسخههای تحت وب، تا دسترسی افزونههای مخفی محدود شود.
نفوذ DarkSpectre نشان داد که مهاجمان از مدلهای درآمدزایی و زیرساختهای ابری پیشرفته برای ماندگاری در سیستم قربانیان استفاده میکنند. این کارزار طی هفت سال گذشته مجموعاً ۷.۸ میلیون کاربر را هدف قرار داده است که نشاندهنده صبر و برنامهریزی طولانیمدت مهاجمان برای نفوذ به لایههای امنیتی شرکتها از طریق افزونههای مرورگر است.
