گوگل اعلام كرده كه بعد از دو ماه بررسي توسط محققان امنيتي مستقل از جمله جميله كايا و تيم امنيتي Duo در سيسكو بالغ بر ۵۰۰ افزونه مخرب كروم را از وب استور رسمي خود حذف كرده است.
اين اكستنشن ها كه البته حالا ديگر در وب استور وجود ندارند و در مرورگرهاي مورد استفاده كاربران نيز از كار افتاده اند ظاهرا تبليغات مخرب را به سِشِن هاي مرور وب آنها تزريق مي كردند. در ادامه كد مخرب تزريق شده توسط افزونه ها تحت شرايطي خاص فعال مي شد و كاربر را به سايت هاي معيني هدايت مي كرد.
البته در برهه اي كاربران از طريق لينك هاي مربوطه صرفا به سايت هاي قانوني و اصل نظير دل يا BestBuy ريدايركت مي شدند اما در ادامه پاي سايت هاي شناخته شده دانلود بدافزار يا صفحات فيشينگ نيز به ميان آمد.
براساس گزارش تازه اي كه تيم امنيت Duo در سيسكو منتشر كرده است اين افزونه ها بخشي از يك عمليات بدافزاري گسترده تر بوده اند كه دست كم دو سال است آغاز شده. با اين حال تيم محققان تهيه كننده اين گزارش باور دارند گروهي كه اين عمليات را به راه انداخته احتمالا از اوايل دهه ۲۰۱۰ آغاز به فعاليت كرده است.
اين عمليات توسط جميله كايا شناسايي شد كه نخستين بار در حين تهديد سنجي وب استور متوجه يك الگوي URL متداول در بازديدهايي شد كه از سايت هاي مخرب صورت مي گيرد و اينگونه شد كه به وجود افزونه هاي مخرب پي برد.
كايا در ادامه از سرويسي به نام CRXcavator براي تحليل افزونه هاي كروم استفاده كرد و به لطف آن گروه نخست از افزونه هايي را شناسايي كرد كه كدبيس مشابه داشتند اما از نام هاي ساختگي براي سرپوش گذاشتن بر فعاليت هاي واقعي خود استفاده مي كردند. او جزئيات بيشتر از اين كشف را طي مصاحبه اي با وبسايت ZDNet فاش كرد و گفت:
من به تنهايي بالغ بر دوازده افزونه را كه از اين الگو تبعيت مي كردند پيدا كردم. بعد از تماس با Duo توانستيم با استفاده از ديتابيس CRXcavator هويت اين افزونه ها را شناسايي كنيم و كل شبكه آنها را كشف كنيم. ما در ادامه يافته هايمان را در اختيار گوگل قرار داديم تا اقدامات بعدي براي حذف اين افزونه ها صورت بگيرد.
منبع:
- چهارشنبه ۳۰ بهمن ۹۸ ۰۹:۵۱
- ۷۵ بازديد
- ۰ نظر