HTCinside
اكتشفت شركة Duo Security مؤخرًا أن أكثر من 500 امتداد للمتصفح تم تنزيلها عبر ملايين المرات تسرق بيانات المستخدمين وتحميلها على خوادم يتحكم فيها المهاجمون لمثل هذا الاستخدام. وتبين أن هذه الامتدادات كانت تعمل من حوالي يناير 2019 ، مع زيادة التدفق بسرعة من مارس حتى يونيو. ومع ذلك ، تشير الشركة إلى احتمال أنه كان من الممكن أن تعمل لفترة أطول ، ربما منذ عام 2017.
وجدت جميلة كايا ، باحثة مستقلة في الشركة المملوكة لشركة Cisco ، أنهم جزء من مخطط طويل الأمد للإعلانات الخبيثة والاحتيال الإعلاني. حددت الشركة ، في جولتها الأولى ، 71 من هذه الإضافات التي تم تنزيلها أكثر من 1.7 مليون على سوق Chrome الإلكتروني. لقد أبلغوا Google بهذه النتائج عندما اكتشفوا حوالي 400 امتداد إضافي من هذا القبيل.
على الرغم من أن الإضافات لا تشترك في أي شيء عندما يتعلق الأمر بوظائفها ، إلا أنها تشترك في نفس شفرة المصدر ، كما وجدت كايا. اكتشفت هذه الامتدادات بمساعدة CRXcavator ، وهي أداة طورها Duo Security وأطلقها للجمهور للاستخدام المجاني. تقيس هذه الأداة أمان أي امتداد Chrome.
تم تقديم هذه الامتدادات المشبوهة كأدوات مساعدة قدمت عروض ترويجية مختلفة. لكن الحقيقة هي أن الامتدادات جلبت احتيالًا إعلانيًا وإعلانات خاطئة عن طريق السرقة عبر المتصفحات. سيتم بعد ذلك توصيل المكونات الإضافية بموقع ويب يبدو مشابهًا للملحق الذي قام المستخدم بتثبيته للتحقق من الإرشادات حول ما إذا كان يجب عليهم إلغاء تثبيت أنفسهم.
ستقوم المكونات الإضافية بعد ذلك بإعادة توجيه المتصفحات إلى الخوادم المشفرة للحصول على إرشادات إضافية حول ما يجب القيام به. هذا هو المكان الذي ينتهي فيه المتصفحات بتحميل البيانات أو قوائم موجز الإعلانات أو المجالات لعمليات إعادة التوجيه المستقبلية. المتصفحات ببساطة اتبعت وفعلت ما طُلب من خلال عمليات إعادة التوجيه.
اقرأ -امتداد Shady Chrome يسرق عملة مشفرة بقيمة 16000 دولار
ولوحظ أنه في حين أن عمليات إعادة التوجيه كانت في الغالب غير ضارة ، فقد أصبحت خبيثة واحتيالية بمجرد النظر في عدد عمليات إعادة التوجيه. تمت إعادة توجيه المتصفح إلى ما يزيد عن 30 مرة في بعض الحالات. يضاف إلى ذلك الإخفاء المتعمد لمعظم الإعلانات عن المستخدمين ، ومزيج من هذين حيث تؤدي عمليات إعادة التوجيه إلى توجيه المستخدم إلى مواقع البرامج الضارة والتصيد الاحتيالي.
يلاحظ Duo Security أن هذه الإضافات تم إنشاؤها بطريقة تجعل النية الفعلية فيما يتعلق بالإعلان دائمًا مخفية عن المستخدمين. 'تم إجراء ذلك من أجل ربط عملاء المتصفح بهندسة الأوامر والتحكم ، وتسلل بيانات التصفح الخاصة دون علم المستخدمين ، وتعريض المستخدم لخطر الاستغلال من خلال التدفقات الإعلانية ، ومحاولة التهرب من آليات الكشف عن الاحتيال في سوق Chrome الإلكتروني.'تقرير شركة الأمن.
قامت Google منذ فترة طويلة بتعطيل الملحقات وتمييزها على أنها برامج ضارة حتى لا يتمكن المستخدمون من تثبيتها أو الوصول إليها. وعلى نفس المنوال ، من المفيد أن يتوخى المستخدم اليقظة عند تثبيت الامتدادات ومنحها أذونات ، وإزالة أي ملحقات مشبوهة لم يتعرف عليها أو لم يتم استخدامها لفترة طويلة.