محققان آزمایشگاه Guardio یک کمپین تبلیغاتی مخرب جدید، کشف کرده اند که افزونه های Google Chrome را وادار به دزدیدن جستجوهای کاربر هدف، می کند و لینکهای وابسته را در صفحات وب مشخصی قرار می دهد.
به دلیل اینکه تمامی این افزونه گزینه های سفارشی سازی رنگبندی را پیشنهاد میدهد و برای فرار از شناسایی، بدون کد مخرب وارد سیستم قربانی می شود، آنالیزگرها این کمپین را Dormant Colors نامیده اند.
براساس گزارش این آزمایشگاه، در اواسط اکتبر 2022، 30 نمونه از افزونه های مرورگر برای دانلود روی مرورگرهای Edge و Chrome با تعداد بالای نصب، در دسترس بوده اند.
اما این موضوع چیزی بیشتر از سرقت است.
آلودگی زمان مشاهده صفحات وبی که ویدیو یا دانلودی را نمایش می دهند، با تبلیغات یا ری دایرکت شروع می شود.
زمانی که کاربر برای دانلود برنامه یا دیدن ویدیو اقدام کند، به سایت دیگری هدایت می شود که برای ادامه از کاربر میخواهد که حتما افزونه ای را دانلود کند.
وقتی کاربر روی دکمه Ok یا Continue کلیک کند، یک افزونه تغییر رنگ به ظاهر بی ضرر و معمولی، نصب می شود.
با نصب این افزونه، کاربر به صفحات مختلفی، هدایت شده و اسکریپت های مخربی را که به افزونه دستورات نحوه اجرای سرقت جستجوها و قرار دادن لینک های وابسته در سایتهایی را میدهد، بارگذاری می کند.
در گزارش این آزمایشگاه آمده است که : “اولین مورد به صورت داینامیک عناصری را در صفحه ایجاد می کند در حالیکه تلاش دارد فراخوانی های API جاوا اسکریپت را مخفی کند.”
وقتیکه سرقت جستجو اجرا می شود، افزونه عبارتهای جستجو را به سایتهای وابسته به توسعه دهنده افزونه، ری دایرکت می کند. بنابراین از تبلیغات و فروش دیتاهای جستجو، درآمدی برای توسعه دهنده افزونه ایجاد می شود.
افزونه مذکور از طریق سرقت مرور و جستجوهای قربانی در لیست بزرگ حدود 10.000 وبسایت قرار می گیرد که به صورت خودکار کاربران را به صفحات یکسان ری دایرکت می کند، اما این بار با توجه به قرار دادن لینک های مرتبط در وبسایتها از این تعداد فراتر هم رفته است.
پتانسیلهای بیشتر
محققین هشدار میدهد که اپراتورهای Dormant Colors با استفاده از تکنیک کدهای مخربی که به صورت مخفیانه بارگزاری می شوند، می توانند به موارد بالقوه بدتری نسبت به سرقت جستجوها دست یابند.
همچنین می گویند که ممکن است قربانی به سایت های فیشینگ برای سرقت اعتبارهای مایکروسافت 365، google Workspace، سایتهای بانکی یا شبکه های اجتماعی، نیز هدایت شود.
در حالیکه هیچ نشانه ای مبنی بر اجرای رفتارهای مخرب بیشتر در کمپین مذکور وجود ندارد اما محققین می گویند که با بارگذاری اسکریپتهای اضافه به راحتی این چنین رفتارهایی نیز امکان پذیر خواهد بود.
افزونه ها و وبسایت های لیست شده در بخش گزارش IoCs، حذف شده یا آفلاین شده اند اما محققین هشدار می دهد که عملیات دائماً با نامها و دامنههای افزودنی جدید، تجدید میشود.
پس بهتر است، نسبت به کلیک کردن روی برنامه های پیشنهادی و لینک های دانلود تبلیغاتی در وبسایت های مختلف حساسیت و دقت بیشتری داشته باشیم.
لازم به ذکر است به گزارش گوگل، احتمالا از فوریه 2023 مرورگر Chrome روی ویندوزهای 7 و 8.1 پشتیبانی نخواهد شد.
این کمپانی توصیه کرده کاربران بعد از آن بجای استفاده از ویندوزهای قدیمی حداقل از ویندوز 10 استفاده کنند همچنین استفاده از نرم افزارهای امنیتی دارای آنتی فیشینگ قوی قطعا پیشنهاد می گردد.
منبع: https://www.bleepingcomputer.com/