اگر برنامههای افزودنی طراحی صفحه وب روی کروم یا اج نصب کردهاید، ممکن است بخواهید نوشتههای کاملاً دقیق Guardio را بررسی کنید.
بدافزار «Dormant Color» میلیونها رایانه شخصی را با افزونههای مخرب Chrome آلوده میکند
درس اینجا این است که به دقت در نظر بگیرید که چه افزونه هایی را برای نصب در مرورگر خود انتخاب می کنید. حتی اگر آنها از یک منبع قابل اعتماد باشند، ممکن است آن چیزی که شما انتظار دارید نباشند. و به خصوص هر زمان که یک صفحه وب به شما می گوید باید هر چیزی را دانلود کنید تا محتوای آن را مشاهده کنید، شک دارید. این نشانه واضحی است که چیزی اشتباه است و شگفت آور است که مردم هنوز در سال 2022 به دنبال این ترفند هستند.
“این کار با کمپین تبلیغات نادرست فریبکارانه شروع می شود، با یک روش جدید حیله گر برای بارگذاری کدهای مخرب واقعی بدون اینکه کسی متوجه شده باشد (تا کنون!)، و در نهایت با سرقت نه تنها جستجوها و داده های مرور شما، بلکه همچنین وابستگی به 10000 مورد هدف ادامه می یابد. سایت ها – قابلیتی که به راحتی برای فیشینگ نیزه ای هدفمند، تصاحب حساب و استخراج اعتبار استفاده می شود – همه با استفاده از این شبکه قدرتمند از میلیون ها رایانه آلوده در سراسر جهان!”
گواردیو گفت که ماهیت این نرم افزار به مهاجمان اجازه می دهد تا با استفاده از نتایج جعلی جعلی، سرقت سایت و فیشینگ نیزه ای، کاربران فردی یا کل دامنه ها را هدف قرار دهند. این کار را با سرقت داده های مرورگر کاربر و ارسال آن به سرور فرمان و کنترل انجام می دهد. هکرها می توانند از این داده ها برای به روز رسانی برنامه افزودنی با بردارهای حمله جدید با استفاده از “تزریق کد بی صدا” استفاده کنند.
چه اتفاقی افتاده؟ محققان با امنیت Guardio یک “کمپین گسترده” از پسوندهای مرورگر جمع آوری داده های مخرب را کشف کردند. تحلیلگران به دلیل تمرکز بدافزار بر روی تم های رنگی و سبک – رنگ های اکشن، رنگ های قدرت، رنگ های فوق العاده و غیره، آن را “رنگ های خفته” نامیدند. Dormant Colors از 30 افزونه مختلف تشکیل شده است که میلیون ها کاربر دانلود کرده اند.
«کمککنندگان» به ظاهر بیضرر، خود را بهعنوان اصلاحکنندههای صفحه وب تبلیغ میکنند و به کاربران اجازه میدهند مواردی مانند رنگهای پسزمینه و سبکهای فونت را در صفحات وب که بازدید میکنند تغییر دهند. با این حال، در زیر سرپوش، آنها چندین تلاش مخرب دارند، از جمله ربودن تاریخچه جستجو/مرور شما، درج تبلیغات در صفحات بازدید شده، و بارگذاری کدهای مخرب بدون شناسایی.
هیچ کد مخرب آشکاری در آنچه به فروشگاه ارسال می شود وجود ندارد. مشکل از صفحات وب جعلی ناشی می شود که کاربران را وادار می کند تا برنامه افزودنی به ظاهر بی ضرر را از ویترین فروشگاهی قانونی نصب کنند. سپس کاربر به صفحه «متشکرم» هدایت میشود و یک سری تغییر مسیرهای دیگر، بدافزار را بارگذاری میکنند.
نتیجه شبکه ای از رایانه های آلوده است که هکرها می توانند از آنها برای سایر فعالیت های شرور استفاده کنند.
به طور معمول، ناظران گوگل و مایکروسافت می توانند کدهای بدیهی را شناسایی کرده و قبل از تایید آن را رد کنند. با این حال، محققان دریافتند که اپراتورهای بدافزار برنامههای افزودنی را به گونهای طراحی میکنند که امکان بازرسی را فراهم میکند.
Guardio میگوید: “در حالت اولیه، برنامه افزودنی بی ضرر است. با نگاه کردن به کد، تعداد زیادی توابع مرتبط با رنگ و سبک با نامهای likecssbgcolors()و setlightmodes() آشکار میشود.
همه 30 افزونه شناسایی شده در کروم و اج کار می کنند. آنها را میتوان در مخازن گوگل و مایکروسافت پیدا کرد، اما هر دو شرکت بیشتر ورودیهایی را که تایید کرده بودند، مخرب حذف کردند. با این حال، این برای کسانی که هنوز آنها را نصب کرده اند، کاری نمی کند. همچنین، از آنجایی که کد برنامههای افزودنی فقط به عنوان یک حقه عمل میکند، برنامهها را میتوان به راحتی تغییر نام داد و با حساب دیگری آپلود کرد.