حذف 49 افزونه‌ی سارق کیف پول رمزارز از گوگل کروم

گوگل، 49 افزونه‌ی مخرب را از مرورگر خود حذف کرد. این افزونه‌ها خود را به‌عنوان کیف پول رمزارز معرفی می‌کردند اما حاوی کد مخرب برای فاش‌کردن اطلاعات حساس و خالی‌کردن ارزهای دیجیتال بودند.
این ۴۹ افزونه توسط محققان MyCrypto و PhishFort شناسایی شدند و خود را جای برنامه‌های شناخته‌شده‌ی کیف پول رمزارز مثل MyEtherWallet، Electrun، Jaxx، MetaMask، Trezor، Ledger و KeepKey جا می‌زدند و دقیقاً مشابه افزونه‌های حقیقی عمل می‌کردند، با این تفاوت که هرگونه اطلاعات واردشده توسط کاربر در سرور هکرها و یا گوگل فرم ذخیره می‌شد.
اساساً، افزونه‌ها به‌دنبال به‌دست آوردن اطلاعات مهم مانند کلیدهای خصوصی و پرونده‌های اصلی هستند. پس از ورود کاربر به آن‌ها، افزونه درخواست HTTP POST را برای قربانی ارسال می‌کند و از این طریق می‌تواند به سوءاستفاده از اطلاعات حساب کاربری و خالی‌کردن حساب‌های مجازی بپردازد.
MyCrypto، 14 سرور کنترل و فرمان منحصربه‌فرد (C2s) را که داده‌ها را از سیستم‌های به‌خطرافتاده دریافت می‌کردند، شناسایی کرد.
برخی از این سرورها، داده‌های دریافت‌شده را به فرم GoogleDocs ارسال می‌کردند، ولی بیشتر آن‌ها با اسکریپت‌های اختصاصی PHP، میزبان قربانی خود بودند.
بیشتر دامنه‌ها کاملاً جدید بودند، به‌طوریکه 80 درصد از آن‌ها در مارس و آوریل ثبت شدند. قدیمی‌ترین دامنه (ledger.productions)، بیشترین اتصال به سرورهای دیگر را داشت و به محققان امکان شناسایی هکرهایی که بر روی اکثر افزونه‌ها در حال فعالیت بودند را داد.
یکی از افزونه‌ها برای دریافت اطلاعات کاربر، فرایند یک ارتباط ساده با MyEtherWallet را تقلید می‌کرد. پس از دریافت داده‌های مهم کاربر، برنامه‌ی مخرب آن‌ها را به C2ها ارسال می‌کرد، سپس کاربر را به حالت پیش‌فرض هدایت می‌کرد.
پس از بازگشت به حالت پیش‌فرض، ممکن بود کاربر مجدداً داده‌های خود را در اختیار هکر قرار دهد یا اینکه افزونه را از مرورگر خود حذف کند. در هر دو حالت، برنامه‌ی مخرب به کار خود ادامه داده و رمزارز کاربر را از کیف پول او خارج می‌کرد. این کار تا زمانی که افزونه از فروشگاه حذف نشود ادامه پیدا می‌کرد، بدین معنی که کاربر هیچگاه متوجه حفره‌ی امنیتی به‌وجودآمده نمی‌شد.
خوشبختانه، شبکه‌ای از کاربران هوشیار وجود داشت که نسبت به سوءاستفاده‌ی این افزونه‌ها آگاهی یافته و آن‌ها را منتشر کردند و کمک کردند تا کاربران بیشتری دچار حملات ماحیگیری (فیشینگ) نشوند.
گوگل پس از اطمینان از سوءاستفاده‌ی این افزونه‌ها از اطلاعات کاربران، آن‌ها را از فروشگاه وب کروم حذف کرد.
به کاربران توصیه می‌شود:
• تا آنجا که ممکن است از نصب افزونه‌ها بپرهیزند و با وجود موارد فوق، فقط از فروشگاه‌های رسمی وب استفاده کنند.
• بررسی‌ها و بازخورد سایر افرادی که افزونه‌ را نصب کرده‌اند، بررسی کنند.
• مجوزهای درخواست‌شده را مطالعه کنند و اطمینان حاصل کنند که مطابق با ویژگی‌های افزونه هستند.