نفوذ و بهره‌برداری از افزونه‌ی Copyfish و توزیع بدافزار با آن

نفوذ و بهره‌برداری از افزونه‌ی Copyfish و توزیع بدافزار با آن

نفوذ و بهره‌برداری از افزونه‌ی Copyfish و توزیع بدافزار با آن

مهاجمان سایبری اخیراً با آلوده کردن فروشگاه وب کروم، توانستند به یک افزونه‌ی مرورگر گوگل کروم نفوذ کنند. این نفوذ در حساب کاربری گروه آلمانی با نام a۹t۹ انجام شده که از آن برای توزیع پیام‌های هرزنامه‌ای بهره‌برداری می‌شود. این افزونه Copyfish نام داشته و به کاربران این امکان را می‌دهد تا از تصاویر، اسنادی PDF و ویدئوها، متن را استخراج کنند. این افزونه در حال حاضر نزدیک به ۳۷۵۰۰ کاربر دارد.

متاسفانه افزونه‌ی Copyfish توسط مهاجمان ناشناس آلوده شده و به آن قابلیت افزودن تبلیغات اضافه شده است. با این حال، نمونه‌ی فایرفاکس آن، تحت تأثیر این حمله قرار نگرفته است. مهاجمان همچنین این افزونه را به حساب کاربری خود مخصوص توسعه انتقال داده‌اند. این کار باعث شده تا توسعه‌ دهندگان این افزونه نتوانند آن را از فروشگاه حذف کنند. بررسی‌های توسعه‌دهنگان این افزونه نشان می‌دهد که حمله در تاریخ ۲۸ جولای اتفاق افتاده است.

حمله به a9t9

به گفته‌ی گروه نرم‌افزاری a۹t۹، یکی از اعضای این گروه رایانامه‌ی فیشینگ دریافت کرده که ادعا می‌کند از طرف گروه فروشگاه وب کروم ارسال شده و از آن‌ها خواسته تا افزونه‌ی Copyfish را به‌روزرسانی کنند در غیر این صورت، گوگل آن را از فروشگاه حذف خواهد کرد. در این رایانامه، از کاربر خواسته شده تا بر روی پیوند «توضیحات بیشتر» کلیک کند که در این صورت، پنجره‌ی گذرواژه‌ی گوگل به او نمایش داده خواهد شد. پیوندی که در رایانامه ارائه شده، پیوند bit.ly است ولی به دلیل اینکه اعضای این گروه، پیوند را در حالت HTML مشاهده کرده‌اند، به آن مشکوک نشده و گذرواژه‌ی حساب توسعه‌ی خود را وارد کرده‌اند. توسعه‌دهندگان می‌گویند صفحه‌ای که نمایش داده شده، بسیار شبیه به صفحه‌ی گذرواژه‌ی گوگل بوده است.

نفوذ و بهره‌برداری از افزونه‌ی Copyfish و توزیع بدافزار با آن

زمانی که توسعه‌دهنده، گذرواژه‌ی حساب a۹t۹ را وارد کرده، مهاجمان در تاریخ ۲۹ جولای، افزونه‌ی Copyfish را به نسخه‌ی ۲.۸.۵ به‌روزرسانی کرده‌اند. در این نسخه‌ی جدید، بدافزار و تبلیغات به سامانه‌های کاربران تحویل داده می‌شود. با آنکه توسعه‌دهندگان بسیار سریع متوجه این حمله شدند ولی کاری از دستشان بر نیامد چرا که مهاجمان افزونه را به حساب کاربری خود منتقل کرده بودند. توسعه‌دهندگان این افزونه با بخش پشتیبانی گوگل تماس گرفتند و در تلاش هستند تا دسترسی‎های خود به برنامه را پس بگیرند. توسعه‌دهندگان به کاربران هشدار دادند که افزونه‌ی Copyfish در حال حاضر تحت کنترل آن‌ها نیست. بنابراین به کاربران توصیه می‌شود تا این افزونه را نصب نکنند و در صورتی که نصب کرده‌اند، آن را هر چه زودتر حذف کنند.

منبع :

www.nwes.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *