به نظر می رسد روند گسترش ابزارهای تبلیغاتی، تروجان های بانکداری و بدافزارهای مخرب از طریق افزونه های جعلی مرورگر، در حال افزایش است.
طبق گفته ی رناتو مارینیو، افسر ارشد Morphus Labs، یکی دیگر از افزونه های گوگل کروم دستکاری شده است و از طریق ایمیل های فیشینگ به کاربران پیام هایی را ارسال می کند. این بدافزارها می توانند تمام اطلاعاتی را که توسط کاربر به صورت آنلاین ارسال می شوند، به دست آورند.
این مسئله یعنی دیگر نیازی نیست روی یک لینک آلوده کلیک کنید، مجوز ورود به سیستم بگیرید یا برنامه ها و فایل هایی را دانلود کنید تا سیستم به خطر بیفتد بلکه به صورت خودکار این حملات انجام می شود. به همین دلیل این بدافزار به عنوان بدافزار Catch-All نامگذاری شده است.
یک ایمیل فیشینگ که به عنوان حامل فایل مخرب به کار می رود، حاوی لینک هایی به تصاویری خاصی است و توضیحاتی به زبان پرتقالی برای آن نوشته شده است:
“Segue as (Fotos Final de Semana) Enviadas via WhatsApp (30244)”
“مشاهده عکس های آخر هفته ارسال شده توسط واتسپ (30244)”
به نظر می رسد این ایمیل از طریق برنامه پیامرسانی محبوب WhatsApp ارسال شده است. لینک عکس حاوی فایل مخرب تحت عنوان “whatsapp.exe” است که در صورت اجرا یک صفحه جعلی نصب Adobe PDF Reader را نمایش می دهد. پس از این که این فایل از حالت فشرده خارج شد، فایل های دیگری با نام های md0 و md1 استخراج می شوند. فایل فشرده شده 9.8 مگابایت هستند. هنگامی که از حالت فشرده خارج می شود، دو فایل بزرگ حدود 200 مگابایتی تولید می شود.
هنگامی که فایل md0 اجرا می شود، فایروال ویندوز را غیرفعال می کند و تمامی فرآیندهای Google Chrome را از کار می اندازد تا افزونه مخرب Catch-All (که با زبان جاوا اسکریپت نوشته شده است) را نصب کند. وقتی که فرآیند نصب انجام شد، افزونه را استخراج می کند و فایل های “Ink.” مربوط به launcher کروم را تغییر می دهد تا در اجرای بعدی آن را بارگذاری کند. تمام داده های ارسال شده توسط قربانی در هر وب سایت از طریق افزونه ربوده شده و به یک سرور از طریق ارتباطات jQuery و Ajax ارسال می شود.
در زیر محتوای وارد شده توسط این را بدافزار در فیلد “Target” فایل اجرایی گوگل کروم مشاهده می کنید:
علاوه بر بارگذاری، این افزونه ویژگی های مهم امنیتی که مانع درست کار کردن افزونه مخرب می شوند را غیر فعال می کند.
مارینیو همچنین خاطر نشان کرد که این یک افزونه در حال پیشرفت است. وی همچنین اظهار داشت که اقدامات امنیتی مرورگر مانند TLS یا SSL نمی تواند از قربانیان محافظت کند چرا که افزونه، قبل از فرستادن داده ها از طریق یک اتصال HTTPS، آنها را به متن واضح تبدیل می کند.
منبع:
https://www.hackread.com/malicious-chrome-extension-steals-data-without-login-credentials/