حساب یکمیلیون کاربر از طریق افزونه کروم به سرقت رفت و در معرض آلودگی قرار گرفت.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیش از یکمیلیون کاربر پس از اینکه توسعهدهنده افزونه بسیار محبوب کروم، قربانی یک حمله فیشینگ شد در معرض تبلیغافزارها قرار گرفتند. این رویداد اول آگوست اتفاق افتاد، زمانیکه کریس پِدِریک، مدیر فنی گزارش بِلیچِر، پس از کلیک بر روی پیوند دریافت شده از طریق یک ایمیل فیشینگ، گواهینامههای توسعهدهنده خود را به نمایش گذاشت. نتیجه این بود که مهاجمان به حساب او دسترسی پیدا کرده و یک نسخه اصلاحشده از افزونه کروم توسعهدهنده وب را در دست گرفتند.
بلافاصله پس از انتشار نسخه مخرب افزونه (v۰.۴.۹)، دسترسی به پایگاه یکمیلیون کاربر آغاز شد. مردم درباره رفتارهای مخرب جدید آن شکایت کردند که شامل جای دادن تبلیغات در وبسایتهای بازدیدشده بود. اوایل روز بعد، توسعهدهنده توانست یک نسخه جدید (v۰.۵) از افزونه را برای حذف کد مخرب بارگذاری کند. توسعهدهنده متذکر میشود که تنها نسخه کروم توسعهدهنده وب به خطر افتادهاست و نسخههای فایرفاکس و اُپرا تحت تاثیر قرار نگرفتهاند. او کاربران کروم را تشویق میکند تا افزونه را در اسرع وقت به نسخه ۰.۵ بهروزرسانی کنند.
توسعهدهنده میگوید: «من هنوز به دنبال کد مخرب انجامشده هستم، اما اگر شما توسعهدهندهی وب را برای کروم نصب کردهاید، بهشدت توصیه میکنم که برای احتیاط، گذرواژهی خود را در هر وبگاهی که روز چهارشنبه، دوم آگوست به آن وارد شدید بهخصوص Cloudflare که بهنظر میرسد به صراحت مورد هدف قرار گرفتهاست، تغییر دهید. همچنین به کاربران Cloudflare پیشنهاد میشود که اگر دیروز از داشبورد خود بازدید کردهاند، کلید API خود را لغو کنند، ممکن است این مورد نیز به خطر افتادهباشد.»
پِدِریک توضیح میدهد که در یکم آگوست در ساعت ۹.۲۵ صبح، ایمیلی را دریافت کرده که ادعا کرد که از جانب گوگل است و به او اطلاع دادهاست که برخی مسائل در رابطه با افزونه او و سیاستهای فروشگاه کروم وجود دارد. او بر روی پیوند درون ایمیل کلیک کرده و تقریباً بلافاصله وارد حساب کاربری توسعهدهنده خود شد. زمانیکه او وارد حساب کاربری شده و گذرواژه را تغییر داد، متوجه شد که ایمیل جعلی بوده و تنها روز بعد، ساعت ۶:۳۰ صبح قربانی یک حمله شد. ساعت ۹.۱۵ صبح، نسخه سالم (v۰.۵) از توسعهدهنده وب در فروشگاه کروم وجود داشت.
پِدِریک همچنین یادآور میشود: «درحالحاضر با جایگرین شدن نسخه آسیبدیده از افزونه در فروشگاه در حال پاسخ دادن به تمام کسانی هستم که به من توئیت یا ایمیل فرستادهاند و به آنها توصیه میکنم که به نسخه ۰.۵ از ASAP ارتقا یابند. من همچنین آنچه را که اتفاق افتادهاست به گوگل اطلاع دادم، اگرچه روش درستی برای گزارش دادن این موضوع وجود ندارد و تاکنون پاسخی از آنها دریافت نکردهام.»
توسعهدهنده میگوید که علاوهبر تغییر گذرواژه برای حساب آسیبپذیر، احراز هویت دوعاملی را نیز فعال کردهاست. او هنوز به دنبال تاثیر کد مخرب است. همانطور که مشخص است، توسعهدهنده وب تنها یک افزونه کروم ربودهشده توسط مجرمان سایبری برای حمله با تبلیغافزارها بودهاست. هفته گذشته، یکی از اعضای گروه افزونه Copyfish، ایمیل فیشینگ مشابهی را دریافت کرده و فریب خورد. این موضوع درنهایت موجب شد که مهاجمان یک نسخه بهروز و مخرب افزونه را منتشر کنند و همچنین شروع به وارد کردن تبلیغات/هرزنامهها در وبسایتها کردند، همانطور که برای توسعهدهنده وب اتفاق افتادهبود.
این حمله در روز ۲۸ ژوئیه اتفاق افتاد و روز بعد بهروزرسانی شد. در ۳۰ ژوئیه، توسعهدهندگان رفتار مخربی را متوجه شده و وارد حساب کاربری خود شدند، اما متوجه شد که عاملان این افزونه را به حساب کاربری خود منتقل کردهاند.
توسعهدهندگان اعلام کردند که گوگل Copyfish را یکم آگوست به حساب اصلی توسعهدهندگان بازگرداندهاست. با هدف قرار گرفتن دو افزونه محبوب کروم از طریق ایمیلهای فیشینگ مشابه در طول این چند روز، احتمال میرود که حملات مشابهی صورت گرفتهاست.