قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار افزونه‌های مخرب مرورگر ShadyPanda

افزونه‌های مخرب مرورگر ShadyPanda

تا Mezo در بدافزار
ترجمه به:

در یک نمونه قابل توجه از سوءاستفاده سایبری بلندمدت، یک عامل تهدید به نام ShadyPanda یک کمپین هفت ساله را با هدف قرار دادن افزونه‌های مرورگر انجام داده و بیش از ۴.۳ میلیون نصب داشته است. این عملیات نشان می‌دهد که چگونه حتی نرم‌افزارهای مشروع نیز می‌توانند در صورت عدم نظارت مناسب، به سلاح تبدیل شوند.

از ابزارهای قانونی تا به‌روزرسانی‌های مخرب

پنج مورد از افزونه‌های آلوده، در ابتدا به عنوان برنامه‌های قانونی شروع به کار کردند، اما در اواسط سال ۲۰۲۴ با قابلیت‌های مخرب اصلاح شدند. این به‌روزرسانی‌ها تقریباً ۳۰۰۰۰۰ نصب را قبل از حذف نهایی افزونه‌ها به خود جذب کردند. به‌روزرسانی‌های مخرب، اجرای کد از راه دور را به صورت ساعتی فعال می‌کردند و به مهاجمان اجازه می‌دادند تا جاوا اسکریپت دلخواه را با دسترسی کامل به مرورگر دانلود و اجرا کنند. این افزونه‌ها پس از فعال شدن:

  • هر وب‌سایت بازدید شده را زیر نظر داشته باشید.
  • استخراج تاریخچه مرور رمزگذاری شده.
  • اثر انگشت‌های کامل مرورگر را جمع‌آوری کنید.

یک مثال قابل توجه Clean Master است که قبلاً توسط گوگل تأیید شده بود. وضعیت رسمی آن به ShadyPanda کمک کرد تا پایگاه کاربران خود را گسترش دهد و به‌روزرسانی‌های مخرب را بدون ایجاد سوءظن فعال کند.

نظارت گسترده از طریق افزونه‌های محبوب

مجموعه دیگری از پنج افزونه، از جمله WeTab، کاربران را در مقیاس وسیعی رصد می‌کردند. این افزونه‌ها URLها، جستجوهای موتور جستجو، کلیک‌های ماوس و سایر تعاملات مرورگر را ردیابی کرده و داده‌ها را به سرورهای مستقر در چین منتقل می‌کردند. در مجموع، این افزونه‌ها تقریباً چهار میلیون بار نصب شدند که WeTab به تنهایی سه میلیون نصب داشته است.

نشانه‌های اولیه‌ی رفتار مخرب در سال ۲۰۲۳ ظاهر شد، که شامل توسعه‌دهندگانی به نام‌های nuggetsno15 و rocket Zhang می‌شد، که ۲۰ افزونه‌ی کروم و ۱۲۵ افزونه‌ی اج را در قالب تصویر زمینه یا ابزارهای بهره‌وری منتشر کردند.

سوءاستفاده از کلاهبرداری وابسته و ربودن مرورگر

افزونه‌های ShadyPanda در ابتدا به کلاهبرداری وابسته می‌پرداختند و کدهای ردیابی را به سایت‌هایی مانند eBay، Amazon و Booking.com تزریق می‌کردند تا کمیسیون‌های غیرقانونی ایجاد کنند. تا اوایل سال ۲۰۲۴، این تاکتیک‌ها به کنترل فعال مرورگر افزایش یافت، از جمله:

  • جمع‌آوری پرس‌وجوهای جستجو
  • هدایت جستجوها از طریق trovi.com، یک رباینده شناخته شده.
  • استخراج کوکی‌ها از دامنه‌های هدف.

تا اواسط سال ۲۰۲۴، سه افزونه با استفاده‌ی قانونی طولانی‌مدت، طوری اصلاح شدند که هر ساعت کدهای جاوااسکریپت را از 'api.extensionplay(dot)com' دریافت کنند و با اجرای آن‌ها، هر بازدید از سایت را رصد کرده و داده‌های رمزگذاری‌شده را به 'api.cleanmasters(dot)store' منتقل کنند. این کدها به‌شدت مبهم‌سازی شده بودند و در صورت شناسایی توسط ابزارهای توسعه‌دهنده، وارد حالت بی‌خطر می‌شدند و به بدافزار کمک می‌کردند تا از شناسایی شدن فرار کند.

قابلیت‌های پیشرفته حمله

فراتر از ردیابی، این افزونه‌ها می‌توانند حملات نفوذی در میانه (AitM) را انجام دهند و موارد زیر را تسهیل کنند:

  • سرقت اعتبارنامه.
  • ربودن جلسه.
  • تزریق کد دلخواه در هر سایتی.

این نظارت با افزونه‌های مایکروسافت اج مانند WeTab تشدید شد، که تعاملات گسترده کاربر، از جمله رفتار پیمایش، زمان صرف شده در صفحات و تمام اثر انگشت‌های مرورگر را ثبت می‌کرد. این افزونه‌ها دیگر برای دانلود از بازارهای مربوطه در دسترس نیستند.

اقدامات پیشنهادی برای کاربران

این کمپین در چهار مرحله‌ی مجزا پیشرفت کرد و از ابزارهای قانونی به جاسوس‌افزار پیچیده تبدیل شد. اگرچه مشخص نیست که آیا تعداد دانلودها به طور مصنوعی برای قانونی جلوه دادن آنها افزایش یافته است یا خیر، اما خطر برای کاربران همچنان جدی است. کاربرانی که هر یک از این افزونه‌ها را نصب کرده‌اند باید فوراً افزونه‌ها را حذف کرده و رمزهای عبور را برای همه حساب‌های آنلاین خود تغییر دهند.

نمونه‌هایی از افزونه‌های آسیب‌پذیر:

  • Clean Master: بهترین پاک‌کننده کش کروم
  • Speedtest Pro - تست سرعت اینترنت آنلاین رایگان
  • بلاک‌سایت
  • تغییر موتور جستجو در نوار آدرس
  • برگه جدید SafeSwift
  • تب جدید Infinity V+
  • OneTab Plus: مدیریت تب‌ها و بهره‌وری
  • WeTab 新标签页
  • تب جدید بی‌نهایت برای موبایل
  • تب جدید بی‌نهایت (نسخه حرفه‌ای)
  • برگه جدید بی‌نهایت
  • تب جدید Dream Afar
  • دانلود منیجر پرو
  • صفحه اصلی والپیپر تم گلکسی با کیفیت HD 4k
  • صفحه اصلی تصاویر پس زمینه 4K هالو با کیفیت HD
  • درس‌هایی از ShadyPanda

    • موفقیت ShadyPanda تأکید می‌کند که صرفاً پیچیدگی فنی لازم نیست، این کمپین با سوءاستفاده از یک آسیب‌پذیری سیستمی در بازارهای افزونه‌های مرورگر رونق گرفت. افزونه‌ها پس از ارسال بررسی می‌شوند، اما رفتار پس از تأیید تا حد زیادی بدون نظارت است. این شکاف نظارتی بلندمدت به ابزارهای مورد اعتماد اجازه داد تا بی‌سروصدا به پلتفرم‌های نظارتی تبدیل شوند و نیاز به هوشیاری مداوم، حتی با وجود نرم‌افزارهای تأیید شده، را برجسته می‌کند.

    پرطرفدار

    کلاهبرداری SafariBookings

    فیشینگ, هرزنامه
    مجرمان سایبری با یک کمپین فیشینگ معروف به کلاهبرداری SafariBookings از صنعت گردشگری سوءاستفاده می‌کنند. این ایمیل‌ها به هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیستند. آن‌ها طوری طراحی شده‌اند که به عنوان پیام‌های رسمی از یک سرویس رزرو مسافرتی ظاهر شوند، اما تنها هدف آن‌ها فریب گیرندگان برای افشای اطلاعات شخصی حساس است. قربانی شدن در برابر این پیام‌ها می‌تواند منجر به ربودن حساب، ضرر...

    کلاهبرداری متوقف شده پیام ورودی

    فیشینگ, هرزنامه
    مجرمان سایبری همچنان به فریب مبتنی بر ایمیل ادامه می‌دهند و کلاهبرداری «پیام ورودی متوقف شد» نمونه دیگری از چگونگی فریب دادن گیرندگان ناآگاه توسط هرزنامه‌های ساختگی و متقاعدکننده است. این هشدارهای جعلی به دروغ ادعا می‌کنند که پیام‌ها از صندوق ورودی شما حذف شده‌اند و سعی می‌کنند شما را به سمت یک صفحه فیشینگ سوق دهند. ضروری است که بدانید این ایمیل‌ها به cPanel یا هیچ شرکت، سازمان یا ارائه‌دهنده...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    30,345
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...