جزئیات جدیدی در مورد یک شبکه گسترده از Extensionهای مرورگرهای Chrome و Edge کشف شده است که کاربران با کلیک کردن روی لینک‌ها در صفحات نتایج جستجو، به URLهای دلخواه اپراتور از جمله سایت‌های فیشینگ و تبلیغات منتقل و از این طریق مورد سوءاستفاده قرار می‌گیرند.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: chrome.jpg مشاهده: 0 حجم: 31.4 کیلو بایت

در مجموع “CacheFlow” که توسط Avast نامیده می‌شود، شامل ۲۸ افزونه از جمله Video Downloader for Facebook ،Vimeo Video Downloader ،Instagram Story Downloader ،VK Unblock است که از یک ترفند بصورت پنهانی استفاده کردند تا هدف واقعی خود را مخفی سازند: یعنی از هدر HTTP Cache-Control به عنوان یک کانال مخفی برای بازیابی دستورات از یک سرور کنترل شده توسط مهاجم استفاده کنند.

تمام افزونه‌های مرورگرهای Backdoor شده از تاریخ ۱۸ دسامبر سال ۲۰۲۰ توسط گوگل و مایکروسافت حذف شده‌اند تا از بارگیری بیشتر آنها توسط کاربران از فروشگاه‌های رسمی جلوگیری شود.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: chrome-browser.jpg مشاهده: 0 حجم: 63.3 کیلو بایت

دنباله CacheFlow از آنجا شروع شد که کاربران یکی از افزونه‌های آلوده را در مرورگرهای خود بارگیری کرده و پس از نصب، یک هدر Cache-Control ساخته شده شامل دستورات پنهان برای واکشی Payload مرحله‌دوم(second-stage) که به عنوان یک بارگیری کننده برای Payload نهایی جاوا اسکریپت عمل می‌کند، باز می‌گردد.

این بدافزار جاوا اسکریپت با تمرکز ویژه بر جمع‌آوری داده‌ها از Google، اطلاعاتی شامل تاریخ تولد، آدرس‌های ایمیل، موقعیت جغرافیایی و فعالیت دستگاه‌ها را جمع‌آوری می‌کند.

محققان Avast گفتند: برای بازیابی تاریخ تولد، CacheFlow درخواست XHR را به https://myaccount.google.com/birthday ارسال می‌کند.

در مرحله آخر، Payload قسمت دیگری از JavaScript را به هر برگه تزریق می‌کند و از آن برای دزدیدن کلیک‌های متعلق به وب‌سایت‌های قانونی و همچنین تغییر نتایج جستجو Google ،Bing یا Yahoo برای تغییر مسیر قربانی به یک URL دیگر استفاده می‌کند.

این افزونه‌ها علاوه بر جلوگیری از آلوده شدن کاربرانی که احتمالاً توسعه دهنده وب هستند، به طوری پیکربندی شده‌اند که طی سه روز اول پس از نصب، هیچ رفتار مشکوکی از خود بروز ندهند.

لیست افزونه‌های آلوده شده گوگل Chrome:

  • Direct Message for Instagram
  • DM for Instagram
  • Invisible mode for Instagram Direct Message
  • Downloader for Instagram
  • App Phone for Instagram
  • Stories for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Zoomer for Instagram and FaceBook
  • VK UnBlock. Works fast.
  • Odnoklassniki UnBlock. Works quickly.
  • Upload photo to Instagram™
  • Spotify Music Downloader
  • The New York Times News
  • FORBES
  • Скачать фото и видео из Instagram

لیست افزونه‌های آلوده شده Edge:

  • Direct Message for Instagram™
  • Instagram Download Video & Image
  • App Phone for Instagram
  • Universal Video Downloader
  • Video Downloader for FaceBook™
  • Vimeo™ Video Downloader
  • Volume Controller
  • Stories for Instagram
  • Upload photo to Instagram™
  • Pretty Kitty, The Cat Pet
  • Video Downloader for YouTube
  • SoundCloud Music Downloader
  • Instagram App with Direct Message DM
  • Downloader for Instagram

Avast گفت: ممکن است ترفندهای بی‌شماری که توسط نویسندگان این بدافزار برای فرار از شناسایی به کار رفته است، عامل مهمی باشد که به آن‌ها اجازه می‌دهد کد مخربی را در پس‌زمینه اجرا کنند. شواهدی نشان می‌دهد این کمپین ممکن است حداقل از اکتبر ماه سال ۲۰۱۷ فعال و میلیون‌ها قربانی را به طور پنهانی آلوده کرده باشد.

محققان گفتند: ما معمولاً اطمینان داریم که افزونه‌های نصب شده از فروشگاه‌های رسمی مرورگر ایمن هستند و همیشه اینطور نیست که ما اخیراً کشف کرده‌ایم.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

112

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *