حذف سریع افزونه‌های مخرب مرورگر گوگل کروم در پی سوءاستفاده از حساب‌های فیسبوک

یک دانشجوی ۱۹ ساله دانمارکی با نام ماکسیم کیار یک مجموعه از افزونه را در مرورگر گوگل کروم کشف کرده است که اقدام به سرقت حساب‌های فیسبوک می‌کرده و البته قادر به فعالیت‌های مخرب‌تری نیز بوده است.

این افزونه‌ها توسط نفوذگران و در قالب پست‌های فیسبوک پخش می‌شده و دارای محتوای ویروسی بوده است. کاربران پس از اقدام به کلیک روی پیوند پست‌ها به یک وبگاه وصل شده و از او درخواست می‌شد که سن خود را تائید کنند. در این میان، در برخی پست‌ها نیز از کاربران درخواست می‌شد تا یکی از افزونه‌های مرورگر گوگل کروم را نصب کنند.

این افزونه‌ها اغلب نام‌های مشابهی داشته‌اند در آن‌ها کلماتی مانند viral ،age و verify به چشم می‌خورده است. همچنین شایان‌ ذکر است که تمامی این افزونه‌ها از بخش فروشگاه گوگل کروم نصب می‌شده‌اند و این مسئله هرگونه شک از جانب کاربران را در مورد غیرقانونی بودن این افزونه‌ها برطرف می‌کرده است.

کیار که یکی از کدهای موجود در این افزونه‌ها را رمزگشایی کرده بود، در توضیح بیشتر در این مورد می‌گوید که تمامی این افزونه‌ها اقدام به درخواست‌های مخرب از کاربر می‌کرده‌اند. «درخواست مبنی بر خواندن و تغییر تمامی اطلاعات موجود در وبگاه‌های مراجعه شده»، یکی از این درخواست‌ها بوده که به افزونه و گروه نفوذ طراح آن این امکان را می‌دهد به تمامی وبگاه‌های مراجعه شده توسط کاربر اشراف و کنترل کامل داشته باشند.

طبق یافته‌های کیار، این افزونه فقط سه پرونده داشته است که به صورت مرتب باز و اجرا می‌شده‌اند، یعنی به محض باز شدن مرورگر، این افزونه اقدام به کار و فعالیت می‌کرده و به‌هیچ‌وجه تا پایان کار کاربر با مرورگر و بسته شدن آن، از فعالیت باز نمی‌مانده است.

اولین پرونده این افزونه، background.js نام دارد و در حقیقت اسکریپتی است که فرآیند تائید سن کاربر را انجام می‌دهد. کیار در این باره می‌گوید که هیچ بخشی برای افراد زیر هجده سال در این فرآیند وجود نداشت و کد اصلی موجود در این پرونده فقط یک زمان‌سنج تصادفی را بعد از پر کردن بخش مربوط به تاریخ تولد توسط کاربر، فعال کرده و سپس عبارت Loading… در هنگام کار زمان‌سنج روی صفحه ظاهر می‌شد. پس از این مراحل و اتمام کار، عبارت Done! روی صفحه نمایش داده می‌شد.

پرونده دوم، با نام query-string.js، تنها ابزار همزاد با بخش NPM با همین نام است که برای پرونده سوم با نام install.js مورد استفاده قرار می‌گیرد.

پرونده سوم نیز محل انجام فعالیت خرابکارانه است. این پرونده با اتصال به کارگزار رایانه، باعث دریافت یک پرونده دیگر می‌شد که در بخش‌های بعدی مورد استفاده قرار می‌گیرد.

روش کار این افزونه، مشابه روش کار دیگر افزونه‌های مرورگر گوگل کروم است و به دلیل اسکن‌های خودکار شرکت گوگل در هنگام ثبت افزونه‌ها در بخش فروشگاه کروم، قادر به حمل کدهای مخرب در ابتدای ورود به سامانه نیست و بنابراین باید کدهای لازم را بعد از ورود، دریافت کند.

در کد مخربی که کیار آن را دریافت کرده بود، اسکریپت‌های دریافت شده می‌توانستند یا از طریق یک کارگزار دستور و کنترل، درخواست‌هایی را انجام دهند و همچنین دستورالعمل‌های لازم را از اینترنت دریافت کنند.

کیار همچنین در طول بررسی‌های خود، متوجه شد که کارگزار دستور و کنترل به مرورگر اجازه لازم برای دسترسی که نشانی فیسبوک را می‌داد. شایان‌ذکر است که نشانی فیسبوک ذکرشده نشان‌دهنده توکن دسترسی کاربر و یک کلید برنامه‌ای برای حساب فیسبوک وی است.

در ادامه فرآیند، نفوذگران با استفاده از تائید درخواست مخرب با تعریف «خواندن و تغییر تمامی اطلاعات مربوط به وبگاه‌های مراجعه شده» که کاربر در هنگام نصب افزونه اجازه آن را به افزونه داده است، می‌توانند نشانه دسترسی ذکر شده را مجدداً به دست بیاورند.

اسکریپت دریافت شده نیز اقدام به گزارش این نشانه دسترسی به کارگزار دستور و کنترل می‌کند. کارگزار نیز به این ترتیب به حساب کاربر دسترسی پیدا می‌کند. در ادامه نیز به محض سرقت توکن دسترسی، کارگزار به مرورگر آموزش می‌دهد تا صفحه‌ای را در فیسبوک بپسندد که کاربر اصلاً آن را ندیده است.

تمامی ین اتفاقات در حالی رخ داده است که کیار از انجام آن‌ها کاملاً آگاه بوده است و مشخص‌ شده است که کارگزار دستور و کنترل در این فرآیند می‌تواند دستور انجام هرگونه فعالیتی را به مرورگر بدهد.

طبق محاسبات کیار، بیش از ۱۳۲ هزار کاربر (۱۳۲۲۶۵) این افزونه مخرب را نصب ‌کرده‌اند.

وی همچنین گفت که نشانی‌های IP رایانه در این فرآیند برای دریافت بار داده اسکریپت‌های مخرب مورد استفاده قرار گرفته است. همچنین یافته‌های کیار نشان می‌دهد کارگزارهای دستور و کنترل نیز به شرکت Digital Ocean متصل بوده‌اند. این شرکت در اصل میزبان کارگزارهای مورد استفاده در این فرآیند است.

کیار در پایان گفت که شرکت گوگل را از این اتفاقات مطلع کرده و این شرکت نیز بلافاصله این افزونه را از بخش فروشگاه گوگل کروم حذف کرده و آن‌ها را در لیست سیاه قرار داده است. طی این اقدام، تمامی افزونه‌ها به صورت خودکار از رایانه‌های آلوده پاک می‌شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap