پنج افزونه جعلی مرورگر گوگل کروم که به عنوان اپلیکیشن نتفلیکس و غیره نمایش داده میشوند، و برای ردیابی فعالیتهای اینترنتی کاربران و کسب درآمد از برنامههای وابسته طراحی شدهاند، کشف شده است.
Oliver Devane and Vallabh محققان McAfee گفتند: این افزونهها کارکردهای مختلفی مانند امکان تماشای برنامههای نتفلیکس و گرفتن اسکرینشات از یک وبسایت را به کاربران ارائه میدهند.
افزونههای مرورگر مورد نظر از طریق فروشگاه کروم در دسترس هستند و 1.4 میلیون بار دانلود شدهاند:
افزونهها برای بارگذاری یک کد جاوا اسکریپت طراحی شدهاند که مسئول ذخیره تبها در وبسایتهای بازدید شده است و کدهای مخرب را به پورتالهای e-commerce تزریق میکند و به مهاجمان اجازه میدهد از طریق برنامههای وابسته برای خریدهای انجامشده توسط قربانیان، درآمد کسب کنند.
محققان خاطرنشان کردند که هر وبسایت بازدید شده به سرورهای متعلق به سازنده افزونه ارسال میشود.
آنها این کار را انجام میدهند تا بتوانند کد را در وبسایتهای فروشگاهی که بازدید میشود وارد کنند، این اقدام کوکیهای موجود در سایت را تغییر میدهد تا نویسندگان افزونه برای هر خرید در وبسایتهای آلوده شده، مبلغی را دریافت کنند.
همچنین در بدافزار تکنیکی گنجانده شده است که فعالیتهای مخرب را 15 روز از زمان نصب افزونه به تأخیر میاندازد تا به حفظ چهره و جلوگیری از شناسایی شدنش کمک کند.
این یافتهها به دنبال کشف 13 افزونه مرورگر کروم در مارس 2022 است که در حال هدایت کاربران در ایالات متحده، اروپا و هند به سایتهای فیشینگ و استخراج اطلاعات حساس کشف شدند.
از روز چهارشنبه، تمام پنج افزونه از فروشگاه کروم حذف شدهاند. با این اوصاف، به کاربران افزونههای نصب شده توصیه میشود برای کاهش خطرات بیشتر، آنها را به صورت دستی از مرورگر کروم خود حذف کنند.
Oliver Devane and Vallabh محققان McAfee گفتند: این افزونهها کارکردهای مختلفی مانند امکان تماشای برنامههای نتفلیکس و گرفتن اسکرینشات از یک وبسایت را به کاربران ارائه میدهند.
افزونههای مرورگر مورد نظر از طریق فروشگاه کروم در دسترس هستند و 1.4 میلیون بار دانلود شدهاند:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - 800,000 downloads
- Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) - 300,000 downloads
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) - 80,000 downloads
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - 200,000 downloads
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - 20,000 downloads
افزونهها برای بارگذاری یک کد جاوا اسکریپت طراحی شدهاند که مسئول ذخیره تبها در وبسایتهای بازدید شده است و کدهای مخرب را به پورتالهای e-commerce تزریق میکند و به مهاجمان اجازه میدهد از طریق برنامههای وابسته برای خریدهای انجامشده توسط قربانیان، درآمد کسب کنند.
محققان خاطرنشان کردند که هر وبسایت بازدید شده به سرورهای متعلق به سازنده افزونه ارسال میشود.
آنها این کار را انجام میدهند تا بتوانند کد را در وبسایتهای فروشگاهی که بازدید میشود وارد کنند، این اقدام کوکیهای موجود در سایت را تغییر میدهد تا نویسندگان افزونه برای هر خرید در وبسایتهای آلوده شده، مبلغی را دریافت کنند.
همچنین در بدافزار تکنیکی گنجانده شده است که فعالیتهای مخرب را 15 روز از زمان نصب افزونه به تأخیر میاندازد تا به حفظ چهره و جلوگیری از شناسایی شدنش کمک کند.
این یافتهها به دنبال کشف 13 افزونه مرورگر کروم در مارس 2022 است که در حال هدایت کاربران در ایالات متحده، اروپا و هند به سایتهای فیشینگ و استخراج اطلاعات حساس کشف شدند.
از روز چهارشنبه، تمام پنج افزونه از فروشگاه کروم حذف شدهاند. با این اوصاف، به کاربران افزونههای نصب شده توصیه میشود برای کاهش خطرات بیشتر، آنها را به صورت دستی از مرورگر کروم خود حذف کنند.