حذف 106 افزونه مخرب کروم از طرف گوگل

گوگل در پاسخ به گزارش‌هایی مبنی بر اینکه از افزونه‌ها برای سرقت اطلاعات حساس کاربران استفاده شده ‌است، 106 افزونه‌ی مرورگر کروم را از Chrome Web Store حذف کرد. در این تحقیق، که نتایج آن اخیراً منتشر شده است، Awake Security ادعا کرد میلیون‌ها کاربر کروم توسط مهاجمان، مورد هدف قرار گرفته‌اند. مهاجمان از افزونه‌های مرورگر کروم گوگل نه تنها برای سرقت داده، بلکه برای ایجاد بستری پایدار در شبکه‌های قربانیان نیز استفاده کرده‌اند. این افزونه‌های مخرب برای مرورگر رایگان بودند و برای هشدار به کاربران در مورد وب‌سایت‌های مشکوک یا فشرده‌سازی فایل‌ها طراحی شده‌ بودند. به طور کلی، Awake Security تخمین می‌زند که این افزونه‌ها 32 میلیون بار دانلود شده‌اند.
یکی از سخنگوهای گوگل، در بیانیه‌ای اعلام کرد: "ما از افزونه‌های موجود در Web Store که خط‌مشی‌های ما را نقض کرده‌اند، خبردار شده‌ و اقدامات لازم را در این انجام داده‌ایم. همچنین از این افزونه‌ها به عنوان نمونه‌هایی آموزشی، در جهت ارتقای تحلیل خودکار و دستی خود استفاده می‌کنیم."
در حالی که گوگل مدت زمان طولانی است که Web Store کروم را برای افزونه‌های مخرب مرورگر کنترل می‌کند، آنچه که در مورد این دسته افزونه اخیر منحصر به فرد بود، این است که ادعا می‌شد بخشی از یک همکاری و "کمپین نظارت گسترده جهانی" است. محققان گوگل همچنین ادعا می‌کنند که این کمپین توسط ثبت‌کننده‌ی دامنه‌ی اینترنت، CommuniGal Communication Ltd. (GalComm)، پشتیبانی شده است.

به گفته محققان، ثبت‌کننده دامنه به مجرمان اجازه داده‌است تا از چند لایه‌ی امنیتی، حتی در سازمان‌های پیشرفته و با سرمایه‌گذاری‌های قابل توجه در امنیت سایبری، عبور کنند. تنها در سه ماه گذشته، 111 افزونه‌ی مخرب یا جعلی کروم که از دامنه‌های Galcomm برای زیرساخت‌های فرماندهی و کنترل مهاجم و یا به عنوان صفحات بارکننده برای افزونه‌ها استفاده کرده‌بودند، جمع‌آوری شده‌اند. این افزونه‌ها می‌توانند از صفحه عکس بگیرند، کلیپ‌بورد را بخوانند، توکن‌های معتبر ذخیره‌شده در کوکی‌ها یا پارامتر‌ها را جمع‌آوری کنند، ضربه‌های کاربر بر صفحه‌کلید (مانند گذرواژه‌ها) را بگیرند و غیره."
بنیان‌گذار و محقق ارشد Awake Security، در تفسیر فنی این تهدید نوشت: "از میان 26079 دامنه قابل دسترسی که از طریق Galcomm ثبت شدند، تعداد 15160 دامنه مخرب یا مشکوک به میزبانی از تعداد زیادی بدافزار‌های سنتی یا ابزارهای پایش بر اساس مرورگر هستند. با استفاده از روش‌های دور زدن مختلف، این دامنه‌ها از شناسایی شدن به عنوان دامنه‌های مخرب توسط بسیاری از راهکار‌های امنیتی فرار کرده که این امر باعث شد این کمپین ناشناس باقی بماند. در ماه فوریه، Duo Security یک کمپین مشابه را کشف کرده است که 500 افزونه‌ی مرورگر گوگل کروم به طور مخفیانه داده‌های خصوصی کاربران را سرقت کرده و قربانیان را به وب‌سایت‌های دارای بدافزار راهنمایی می‌کردند.

https://threatpost.com/google-yanks-106-malicious-chrome-extensions/156731/