دردسر یک حمله فیشینگ علیه توسعه‌دهنده افزونه کروم
سرقت اطلاعات میلیون‌ها کاربر از طریق افزونه کروم
کد مطلب: 13038
تاریخ انتشار : چهارشنبه ۱۸ مرداد ۱۳۹۶ ساعت ۱۱:۰۰
 
حساب یک‌میلیون کاربر از طریق افزونه‌ کروم به سرقت رفت و در معرض آلودگی قرار گرفت.
سرقت اطلاعات میلیون‌ها کاربر از طریق افزونه کروم
 
 
Share/Save/Bookmark
حساب یک‌میلیون کاربر از طریق افزونه‌ کروم به سرقت رفت و در معرض آلودگی قرار گرفت.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از یک‌میلیون کاربر پس از اینکه توسعه‌دهنده‌ افزونه‌  بسیار محبوب کروم، قربانی یک حمله‌ فیشینگ شد در معرض تبلیغ‌افزارها قرار گرفتند. این رویداد اول آگوست اتفاق افتاد، زمانی‌که کریس پِدِریک، مدیر فنی گزارش بِلیچِر، پس از کلیک بر روی پیوند دریافت شده از طریق یک ایمیل فیشینگ، گواهی‌نامه‌های توسعه‌دهنده‌ خود را به نمایش گذاشت. نتیجه این بود که مهاجمان به حساب او دسترسی پیدا کرده و یک نسخه‌ اصلاح‌شده از افزونه‌ کروم توسعه‌دهنده‌ وب را در دست گرفتند.

بلافاصله پس از انتشار نسخه‌ مخرب افزونه (v۰.۴.۹)، دسترسی به پایگاه یک‌میلیون کاربر آغاز شد. مردم درباره‌ رفتارهای مخرب جدید آن شکایت کردند که شامل جای دادن تبلیغات در وب‌سایت‌های بازدید‌شده بود. اوایل روز بعد، توسعه‌دهنده توانست یک نسخه‌ جدید (v۰.۵) از افزونه را برای حذف کد مخرب بارگذاری کند. توسعه‌دهنده متذکر می‌شود که تنها نسخه‌ کروم توسعه‌دهنده‌ وب به خطر افتاده‌است و نسخه‌های فایرفاکس و اُپرا تحت تاثیر قرار نگرفته‌اند. او کاربران کروم را تشویق می‌کند تا افزونه را در اسرع وقت به نسخه‌ ۰.۵ به‌روزرسانی کنند.

توسعه‌دهنده می‌گوید: «من هنوز به دنبال کد مخرب انجام‌شده هستم، اما اگر شما توسعه‌دهنده‌ی وب را برای کروم نصب کرده‌اید، به‌شدت توصیه می‌کنم که برای احتیاط، گذرواژه‌ی خود را در هر وب‌گاهی که روز چهارشنبه، دوم آگوست به آن وارد شدید به‌خصوص Cloudflare که به‌نظر می‌رسد به صراحت مورد هدف قرار گرفته‌است، تغییر دهید. همچنین به کاربران Cloudflare پیشنهاد می‌شود که اگر دیروز از داشبورد خود بازدید کرده‎اند، کلید API خود را لغو کنند، ممکن است این مورد نیز به خطر افتاده‌باشد.»

پِدِریک توضیح می‌دهد که در یکم آگوست در ساعت ۹.۲۵ صبح، ایمیلی را دریافت کرده که ادعا کرد که از جانب گوگل است و به او اطلاع داده‌است که برخی مسائل در رابطه با افزونه‌ او و سیاست‌های فروشگاه کروم وجود دارد. او بر روی پیوند درون ایمیل کلیک کرده و تقریباً بلافاصله وارد حساب کاربری توسعه‌دهنده‌ خود شد. زمانی‌که او وارد حساب کاربری شده و گذرواژه را تغییر داد، متوجه شد که ایمیل جعلی بوده و تنها روز بعد، ساعت ۶:۳۰ صبح قربانی یک حمله شد. ساعت ۹.۱۵ صبح، نسخه‌ سالم (v۰.۵) از توسعه‌دهنده‌ وب در فروشگاه کروم وجود داشت.

پِدِریک همچنین یادآور می‌شود: «درحال‌حاضر با جایگرین شدن نسخه‌ آسیب‌دیده از افزونه در فروشگاه در حال پاسخ دادن به تمام کسانی هستم که به من توئیت یا ایمیل فرستاده‌اند و به آنها توصیه می‌کنم که به نسخه‌ ۰.۵ از ASAP ارتقا یابند. من همچنین آنچه را که اتفاق افتاده‌است به گوگل اطلاع دادم، اگرچه روش درستی برای گزارش دادن این موضوع وجود ندارد و تاکنون پاسخی از آنها دریافت نکرده‌ام.»

توسعه‌دهنده می‌گوید که علاوه‌بر تغییر گذرواژه برای حساب آسیب‌پذیر، احراز هویت دوعاملی را نیز فعال کرده‌است. او هنوز به دنبال تاثیر کد مخرب است. همان‌طور که مشخص است، توسعه‌دهنده‌ وب تنها یک افزونه‌ کروم ربوده‌شده توسط مجرمان سایبری برای حمله با تبلیغ‌افزارها بوده‌است. هفته‌ گذشته، یکی از اعضای گروه افزونه‌ Copyfish، ایمیل فیشینگ مشابهی را دریافت کرده و فریب خورد. این موضوع درنهایت موجب شد که مهاجمان یک نسخه‌ به‌روز و مخرب افزونه را منتشر کنند و همچنین شروع به وارد کردن تبلیغات/هرزنامه‌ها در وب‌سایت‌ها کردند، همان‌طور که برای توسعه‌دهنده‌ وب اتفاق افتاده‌بود.

این حمله در روز ۲۸ ژوئیه اتفاق افتاد و روز بعد به‌روزرسانی شد. در ۳۰ ژوئیه، توسعه‌دهندگان رفتار مخربی را متوجه شده و وارد حساب کاربری خود شدند، اما متوجه شد که عاملان این افزونه را به حساب کاربری خود منتقل کرده‌اند.

توسعه‌دهندگان اعلام کردند که گوگل Copyfish را یکم آگوست به حساب اصلی توسعه‌دهندگان بازگردانده‌است. با هدف قرار گرفتن دو افزونه‌ محبوب کروم از طریق ایمیل‌های فیشینگ مشابه در طول این چند روز، احتمال می‌رود که حملات مشابهی صورت گرفته‌است.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات