نفوذ پنهانی به جلسات آنلاین از مسیر افزونه‌های مرورگر

بررسی‌ها نشان می‌دهد برخی افزونه‌های مرورگر که سال‌ها بدون مشکل فعالیت می‌کردند، اکنون به ابزاری برای جمع‌آوری اطلاعات حساس جلسات آنلاین و سوءاستفاده‌های احتمالی امنیتی تبدیل شده‌اند.

به گزارس افتانا، یک کارزار تازه کشف‌شده که پژوهشگران آن را «Zoom Stealer» نام‌گذاری کرده‌اند، از طریق ۱۸ افزونه مرورگر در کروم، فایرفاکس و مایکروسافت اج، اطلاعات مربوط به جلسات آنلاین شرکت‌ها را جمع‌آوری می‌کند و تاکنون حدود ۲.۲ میلیون کاربر را تحت تأثیر قرار داده است. این افزونه‌ها داده‌هایی مانند آدرس جلسه‌ها، شناسه‌ها، موضوعات، توضیحات و حتی رمزهای عبورِ تعبیه‌شده در لینک‌ها را استخراج می‌کنند.

Zoom Stealer یکی از سه کمپین افزونه‌ای است که در مجموع طی هفت سال گذشته بیش از ۷.۸ میلیون کاربر را هدف گرفته و همگی به یک عامل تهدید واحد با نام DarkSpectre نسبت داده می‌شوند. بر اساس زیرساخت‌های استفاده‌شده، گمان می‌رود DarkSpectre همان عامل تهدید وابسته به چین باشد که پیش‌تر پشت کمپین‌های GhostPoster (هدف‌گیری کاربران فایرفاکس) و ShadyPanda (انتشار جاسوس‌افزار برای کروم و اج) قرار داشت.

به گفته پژوهشگران شرکت امنیت زنجیره تأمین Koi Security، کمپین ShadyPanda همچنان فعال است و از طریق ۹ افزونه و همچنین ۸۵ افزونه «خوابیده» فعالیت می‌کند؛ افزونه‌هایی که ابتدا برای جذب کاربران بی‌خطر به نظر می‌رسند و سپس با به‌روزرسانی‌ها به رفتار مخرب تغییر می‌کنند. هرچند ارتباط با چین پیش‌تر مطرح شده بود، اما اکنون شواهد روشن‌تری وجود دارد؛ از جمله میزبانی روی سرورهای Alibaba Cloud، ثبت‌های ICP، وجود رشته‌ها و توضیحات کدنویسی به زبان چینی، الگوهای فعالیت هم‌راستا با منطقه زمانی چین و حتی مدل‌های درآمدزایی متناسب با تجارت الکترونیک چین.

در کمپین Zoom Stealer همه افزونه‌ها مستقیماً مرتبط با جلسات نیستند و برخی از آن‌ها کاربری‌های رایجی مثل دانلود ویدئو یا ابزار ضبط دارند. برای مثال افزونه Chrome Audio Capture با حدود ۸۰۰ هزار نصب و همچنین Twitter X Video Downloader که هر دو در زمان انتشار گزارش همچنان در فروشگاه وب کروم در دسترس بوده‌اند. پژوهشگران Koi Security تأکید می‌کنند که این افزونه‌ها از نظر ظاهری کاملاً کاربردی هستند و دقیقاً همان کاری را انجام می‌دهند که وعده می‌دهند.

با این حال، همه این افزونه‌ها دسترسی به ۲۸ پلتفرم ویدئوکنفرانس از جمله Zoom، Microsoft Teams، Google Meet و Cisco WebEx را درخواست می‌کنند و اطلاعات گسترده‌ای را جمع‌آوری می‌کنند؛ از لینک‌ها و شناسه‌های جلسه و وضعیت ثبت‌نام گرفته تا موضوع و زمان‌بندی، نام و عنوان سخنرانان و میزبان‌ها، بیوگرافی و عکس پروفایل آن‌ها و حتی لوگوها و داده‌های گرافیکی شرکت‌ها. این اطلاعات از طریق اتصال‌های WebSocket به‌صورت بلادرنگ از سیستم قربانیان خارج و برای مهاجمان ارسال می‌شود؛ آن هم زمانی که کاربر صفحه ثبت‌نام وبینار را باز می‌کند، وارد جلسه می‌شود یا در پلتفرم‌های کنفرانسی جابه‌جا می‌شود.

به گفته Koi Security، چنین داده‌هایی می‌تواند برای جاسوسی شرکتی و تحلیل‌های فروش به کار رود و در حملات مهندسی اجتماعی مورد سوءاستفاده قرار گیرد یا حتی لینک جلسات به رقبا فروخته شود. در گزارش این شرکت آمده است که جمع‌آوری سیستماتیک لینک‌ها، فهرست شرکت‌کنندگان و اطلاعات سازمانی از ۲.۲ میلیون کاربر، به DarkSpectre امکان داده پایگاهی بسازد که برای عملیات گسترده جعل هویت بسیار مؤثر است؛ به‌گونه‌ای که مهاجمان بتوانند به تماس‌های محرمانه وارد شوند، بدانند چه کسانی را باید جعل کنند و با داشتن زمینه کافی، جعل هویت را باورپذیر جلوه دهند.

از آنجا که بسیاری از این افزونه‌ها برای مدت طولانی بدون جلب توجه فعالیت کرده‌اند، به کاربران توصیه می‌شود مجوزهای افزونه‌های نصب‌شده را با دقت بررسی کنند و تعداد آن‌ها را به حداقلِ ضروری کاهش دهند. Koi Security افزونه‌های متخلف را گزارش کرده، اما هنوز تعدادی از آن‌ها در فروشگاه وب کروم باقی مانده‌اند. این پژوهشگران فهرست کامل افزونه‌های فعال مرتبط با DarkSpectre را نیز منتشر کرده‌اند.