• صفحه نخست
  • اخبار
  • افزونه‌های به ظاهر معصوم می‌توانند برای کاربران بسیار خطرناک باشند!

افزونه‌های به ظاهر معصوم می‌توانند برای کاربران بسیار خطرناک باشند!

۱۴۰۱/۶/۲۹امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فرقی ندارد می‌خواهید آگهی‌های تبلیغاتی را بلاک کنید، لیستی از کارهایی که باید انجام دهید را تهیه کنید یا غلط املایی‌ها را بگیرید؛ به هر حال افزونه‌ها به شما اجازه می‌دهند کارهایی که اشاره کردیم (ای بسا قابلیت‌های دیگر) را انجام دهید. افزونه‌ها راحتی، بهره‌وری و کارایی به همراه دارند که همین آن‌ها را محبوب کرده است. کروم، سافاری و موزیلا –و کلی مرورگر وب بزرگ دیگر- فروشگاه‌های اختصاصی خود را برای توزیع هزاران افزونه دارند و کاربران این پلاگین‌های محبوب به چیزی بیش از 10 میلیون رسیده است. با این حال افزونه‌ها همیشه هم آنچنان که تصور می‌کنید امن نیستند- حتی آن‌هایی که به ظاهر معصومند نیز می‌توانند بسیار خطرناک باشند. با ما همراه بمانید.

نخست اینکه هر افزونه‌ای که ظاهری بی‌گناه دارد، در واقع بی‌گناه نیست. افزونه‌های مخرب و ناخواسته خود را مفید معرفی می‌کنند، و اغلب دارای کارایی‌های قانونی هستند که همراه با موارد غیرقانونی اجرا می‌شوند. برخی از آنها حتی ممکن است افزونه قانونی محبوبی را جعل کنند، توسعه‌دهندگان آنها تا آنجا پیش می‌روند که کلیدواژه بزنند تا افزونه آنها بالای لیست افزونه‌های مرورگر برود. افزونه های مخرب و ناخواسته اغلب از طریق بازارهای رسمی توزیع می‌شوند. در سال 2020، گوگل 106 افزونه مرورگر را از فروشگاه وب کروم خود حذف کرد. همه آنها برای حذف اطلاعات حساس کاربر، مانند کوکی‌ها و رمزهای عبور، و حتی گرفتن اسکرین شات استفاده شدند.

در مجموع، این افزونه های مخرب 32 میلیون بار دانلود شده‌اند. قربانیان این حملات نه تنها افراد، بلکه مشاغل نیز بودند. در مجموع، بیش از 100 شبکه مورد سوءاستفاده قرار گرفتند و عاملان تهدید را در شرکت‌های خدمات مالی، شرکت‌های نفت و گاز، صنایع بهداشت و درمان و داروسازی، دولت و سایر سازمان‌ها جای دادند. یکی دیگر از برنامه‌های افزودنی مخرب Google Chrome که حتی در فروشگاه رسمی برای دانلود در دسترس بود، توانسته بود جزئیات کارت پرداخت وارد شده در فرم‌های وب را شناسایی کرده و سرقت کند. گوگل آن را از فروشگاه وب کروم حذف کرد، اما این بدافزار تا آن لحظه توانسته بود بیش از 400 کاربر کروم را آلوده کرده و اطلاعات آنها را در معرض خطر بزرگی قرار دهد. گاهی اوقات کاربر می‌تواند با مشاهده مجوزهایی که یک افزونه هنگام نصب از فروشگاه درخواست می‌کند، خطرات را ارزیابی کند. اگر  افزونه مجوزهای بسیار بیشتری از آنچه از نظر تئوری نیاز دارد درخواست کند، بسیار جای نگرانی دارد. به عنوان مثال، اگر یک ماشین حساب معمولی مرورگر نیاز به دسترسی به موقعیت جغرافیایی یا تاریخچه مرور شما داشته باشد، یا بخواهد از صفحات اسکرین شات بگیرد، بهتر است به هیچ وجه آن را دانلود نکنید.

 

با این حال، تجزیه و تحلیل مجوزهای افزونه ممکن است همیشه کمک‌کننده نباشد. غالباً عبارات ارائه شده توسط مرورگرها به قدری مبهم است که نمی‌توان دقیقاً تشخیص داد یک افزونه چقدر امن است. به عنوان مثال، افزونه‌های اصلی اغلب به اجازه «خواندن و تغییر همه داده‌های شما در وب‌سایت‌هایی که بازدید می‌کنید» نیاز دارند. آنها ممکن است واقعاً برای عملکرد صحیح به آن نیاز داشته باشند، اما این مجوز بالقوه به آنها قدرت زیادی می‌دهد. حتی اگر افزونه‌ها هیچ عملکرد مخربی نداشته باشند، باز هم می‌توانند خطرناک باشند. این خطر از این واقعیت ناشی می‌شود که بسیاری از آن‌ها، پس از دسترسی به «خواندن همه داده‌ها در همه وب‌سایت‌ها»، حجم عظیمی از داده‌ها را از صفحات وب که کاربران بازدید می‌کنند جمع‌آوری می‌کنند. برای کسب درآمد بیشتر، برخی از توسعه دهندگان ممکن است آن را به طرف‌سوم‌ها منتقل کنند یا به تبلیغ کنندگان بفروشند. مشکل این است که گاهی اوقات آن داده‌ها به اندازه کافی ناشناس نیستند، بنابراین حتی افزونه‌های غیرمخاطب نیز می‌توانند با قرار دادن اطلاعات خود در معرض افرادی که قرار نیست ببینند از چه وب سایت هایی بازدید می‌کنند و در آنجا چه می‌کنند، به کاربران آسیب برسانند.

افزون بر این، توسعه‌دهندگان افزونه همچنین می‌توانند بدون نیاز به هیچ اقدامی از سوی کاربر نهایی، به‌روزرسانی‌ها را حذف کنند، این بدان‌معناست که حتی یک افزونه قانونی نیز می‌تواند بعداً به بدافزار یا نرم‌افزار ناخواسته تبدیل شود. برای مثال، زمانی که حساب توسعه‌دهنده یک افزونه محبوب پس از حمله فیشینگ ربوده شود، میلیون‌ها کاربر بدون اطلاع آن‌ها نرم‌افزارهای تبلیغاتی را روی دستگاه‌های خود دریافت می‌کنند. گاهی اوقات توسعه‌دهندگان پس از اینکه یک افزونه مرورگر را جذب کردند، آن را می فروشند. پس از اینکه کلاهبرداران افزونه را خریداری کردند، می‌توانند آن را با ویژگی‌های مخرب یا ناخواسته به روز کنند و این آپدیت به کاربران ارسال می‌شود. به این ترتیب، بیش از 30000 کاربر پس از نصب یک افزونه نصب شده به نام Particle، به توسعه دهندگان جدید فروخته شده و بعداً برای تزریق تبلیغات به وب سایت ها تغییر می‌یابد.

یافته‌های کلیدی

  •         در طول نیمه اول سال جاری، 1,311,557 کاربر حداقل یک بار سعی کردند افزونه‌های مخرب یا ناخواسته را دانلود کنند، که بیش از 70 درصد از تعداد کاربرانی هستند که در کل سال گذشته تحت تأثیر همین تهدید قرار گرفته‌اند.
  •         از ژانویه 2020 تا ژوئن 2022، بیش از 4.3 میلیون کاربر منحصر به فرد مورد حمله نرم‌افزارهای تبلیغاتی پنهان در پسوندهای مرورگر قرار گرفتند که تقریباً 70 درصد از کل کاربران تحت تأثیر افزونه های مخرب و ناخواسته است.
  •         رایج ترین تهدید در نیمه اول سال 2022 خانواده افزونه‌های ابزارهای تبلیغاتی WebSearch بود که قادر به جمع‌آوری و تجزیه و تحلیل عبارت‌های جستجو و هدایت کاربران به لینک‌های وابسته بود.

رایج‌ترین خانواده‌های تهدید در سال 2022 که خود را زیر پوشش افزونه‌های مرورگر پنهان کرده‌اند

برای ارائه بینش دقیق‌تر در مورد نحوه عملکرد افزونه‌های مخرب و ناخواسته، ما همچنین یک تجزیه و تحلیل عمیق از چهار خانواده تهدید جمع آوری کردیم. تحلیلمان بدین صورت بود که آیا آنها در یک فروشگاه اینترنتی قانونی یا به روشی دیگر توزیع می‌شوند، از چه کارکردهای افزونه‌ی مفیدی می‌توانند به عنوان مبدل استفاده کنند و در نیمه اول سال 2022 چقدر فعال بودند.

وب‌سرچ

رایج‌ترین تهدید در نیمه اول سال 2022، خانواده ابزارهای تبلیغاتی WebSearch بود که به‌عنوان غیر ویروس شناسایی شد:HEUR:AdWare.Script.WebSearch.gen. .در نیمه اول سال 2022، 876924 کاربر منحصر به فرد با WebSearch مواجه شدند. به طور معمول، این تهدید از ابزارهایی که با داکیومنت‌ها سر و کار دارند تقلید می‌کند (مانند تبدیلگر DOC به PDF، ادغامگر داک‌ها و غیره). اول از همه، افزونه‌های WebSearch صفحه شروع مرورگر را تغییر می‌دهند تا کاربر به جای صفحه آشنای کروم، یک سایت مینیمال ببیند. متشکل از یک موتور جستجو و چندین لینک به منابع طرف‌سوم، مانند AliExpress یا Farfetch . انتقال به این منابع از طریق لینک‌های وابسته انجام می‌شود - مهاجمین به این ترتیب از افزونه‌های خود درآمد کسب می‌کنند. هرچه کاربران بیشتر این لینک‌ها را دنبال کنند، توسعه‌دهندگان افزونه درآمد بیشتری کسب می‌کنند.

همچنین، این افزونه موتور جستجوی پیش‌فرض مرورگر را به search.myway[.]com تغییر می‌دهد، که می‌تواند درخواست‌های کاربر را بگیرد، آنها را جمع‌آوری و تجزیه و تحلیل کند. بسته به آنچه کاربر جستجو کرده است، اکثر سایت های شریک مرتبط به طور فعال در نتایج جستجو تبلیغ می‌شوند. کارکنان اداری، که اغلب مجبورند در محل کار خود از نمایشگرهای PDF یا مبدل استفاده کنند، ممکن است بیشترین قربانیان این تهدید باشند، زیرا وب‌سرچ عمدتاً در پشت این عملکرد پنهان می شود. معمولاً افزونه کارکرد مفید اعلام شده خود را اجرا می‌کند تا کاربر آن را uninstall نکند.

افزونه‌های مربوط به DealPly

افزونه‌های مرتبط با DealPly، آگهی‌افزارهایی هستند که اولین نسخه‌های آن در اواخر سال ۲۰۱۸ ظاهر شد، اما همچنان در بین مجرمان سایبری محبوب هستند. این افزونه‌ها با حکم‌های زیر شناسایی می‌شوند:

  • HEUR:AdWare.Script.Generic
  • HEUR:AdWare.Script.Extension.gen.

بین ژانویه تا ژوئن 2022، 97515 کاربر منحصر به فرد Kaspersky با افزونه‌های مرتبط با DealPly مواجه شدند. برخلاف خانواده WebSearch، این افزونه‌ها توسط کاربر نصب نمی‌شوند، بلکه توسط ابزار اجرایی DealPly که محصولات Kaspersky آن را به‌عنوان غیر ویروس شناسایی می‌کنند:AdWare.Win32.DealPly نصب می‌کنند. معمولاً کاربران هنگام تلاش برای دانلود لودر برخی از نرم افزارهای هک شده از منابع غیرقابل اعتماد به DealPly آلوده می‌شوند. مشابه خانواده تهدیدات قبلی، افزونه‌های مرتبط با DealPly نیز صفحه شروع مرورگر را تغییر می‌دهند تا لینک‌های وابسته را روی آن قرار دهند.

AddScript

AddScript خانواده تهدید دیگری است که تحت پوشش افزونه‌های مرورگر پنهان می‌شود. اولین نمونه‌های این خانواده در اوایل سال 2019 مشاهده شد و همچنان فعال است. در نیمه اول سال 2022، ما 156698 کاربر منحصر به فرد را مشاهده کردیم که با AddScript مواجه شدند. به طور معمول، افزونه‌های این خانواده عملکردهای مفیدی دارند. به عنوان مثال، آنها می‌توانند ابزاری برای دانلود موسیقی و ویدیو از شبکه های اجتماعی یا مدیران پروکسی باشند. با این حال، علاوه بر عملکرد مفید، چنین افزونه‌هایی فعالیت مخرب نیز دارند.

کد مخرب مبهم‌سازی‌شده است. هنگامی که افزونه در حال اجرا است، با یک URL هاردکدشده تماس می‌گیرد تا آدرس سرور C&C را دریافت کند. سپس با سرور C&C ارتباط برقرار می‌کند، جاوا اسکریپت مخرب را از آن دریافت نموده و به صورت مخفیانه اجرا می‌کند. تنها راهی که کاربر می‌تواند متوجه اجرای دستورالعمل‌های طرف‌سوم شود، افزایش مصرف توان پردازنده است. اسکریپت مخرب هر از گاهی به روز می‌شود و ممکن است عملکردهای مختلفی را انجام دهد. به عنوان مثال، می‌تواند بدون مزاحمت ویدیوها را روی رایانه قربانی اجرا کند، به طوری که صاحبان آن از «ویو» ویدیو سود ببرند. نوع دیگری از جاوا اسکریپت مخرب، کارش پر کردن (یا اصطلاحاً استاف کردن) کوکی‌هاست (همچنین به آن "کوکی انداختن" نیز می‌گویند). به طور سنتی، برندهای مختلف محصولات وابسته را در سایت‌های خود تبلیغ می‌کنند. هنگامی که یک بازدیدکننده روی لینک وابسته کلیک می‌کند، یک کوکی وابسته در دستگاه او ذخیره می‌شود. اگر کاربر پس از آن خریدی را در صفحه شریک انجام دهد، صاحب سایتی که کوکی وابسته را ذخیره کرده است کمیسیون دریافت می‌کند. AddScript چندین کوکی وابسته را بدون کلیک کردن کاربر روی لینک‌های موجود در سایت‌ها حذف می‌کند تا کمیسیون معاملاتی را که در مرورگر انجام می‌شود مطالبه کند. به عبارت ساده تر، کلاهبرداران وب سایت ها را فریب می دهند تا فکر کنند بدون اینکه واقعاً این کار را انجام دهند، برای آنها ترافیک ارسال کرده‌اند.

FB Stealer

یکی دیگر از خانواده افزونه‌های مخرب مرورگر FB Stealer است؛ از خطرناک‌ترین خانواده‌ها که علاوه بر جایگزینی موتور جستجوی سنتی می‌تواند اعتبار کاربران را از فیسبوک بدزدد. از ژانویه تا ژوئن 2022، راهکارهای امنیتی کسپرسکی 3077 کاربر منحصر به فرد را شناسایی کردند که با FB Stealer مواجه شدند.

FB Stealer توسط بدافزار نصب می‌شود نه توسط کاربر. پس از افزودن به مرورگر، از افزونه بی‌ضرر و استاندارد Chrome Translate گوگل تقلید می‌کند. تروجان ارائه‌دهنده FB Stealer NullMixer نام دارد که خود را یک نصب‌کننده نرم افزار کرک شده معرفی می‌کند و بنابراین به دست کاربران می‌رسد.

جمع‌بندی و توصیه‌های امنیتی

افزونه‌های مرورگر یکی از رایج‌ترین راه‌های کسب درآمد برای مجرمان سایبری هستند، خواه از طریق هدایت کاربران به صفحات وابسته، پر کردن کوکی‌ها یا حتی سرقت اطلاعات کاربری قربانی. از این رو، بسیاری از کاربران ممکن است تعجب کنند: آیا افزونه‌های مرورگر اگر این همه تهدید را به همراه داشته باشند اصلاً ارزش دانلود شدن دارند؟ ما معتقدیم که افزونه‌ها تجربه آنلاین کاربر را بهبود می‌بخشند و برخی از افزونه‌ها حتی می‌توانند دستگاه‌ها را بسیار ایمن‌تر کنند. با این اوصاف، مهم است که توجه داشته باشید که توسعه‌دهنده چقدر معتبر و قابل اعتماد است و آن افزونه خاص چه مجوزهایی را می‌خواهد. اگر توصیه‌های مربوط به استفاده ایمن از برنامه‌های افزودنی مرورگر را دنبال کنید، خطر مواجهه با تهدیداتی که در بالا توضیح داده شد حداقل خواهد بود.

هنگام استفاده از افزونه‌ها لطفاً موارد زیر را رعایت کنید:

  •         فقط از منابع قابل اعتماد برای دانلود نرم‌افزارها استفاده کنید. اپ‌های ناخواسته و بدافزارها اغلب از طریق منابع طرف‌سوم توزیع می‌شوند؛ جایی که آنطور که فروشگاه‌های رسمی دقت عمل دارند کسی به امنیت اهمیت نمی‌دهد. این اپ‌ها ممکن است بدون اطلاع کاربر اقدام به نصب افزونه‌های مخرب یا افزونه‌های مرورگر ناخواسته کرده و نیز سایر فعالیت‌های مخرب را نیز اجرا کنند.
  •         از آنجایی که افزونه‌ها قابلیت‌های بیشتری را به مرورگرها اضافه می‌کنند، نیاز به دسترسی به منابع و مجوزهای مختلف دارند - قبل از موافقت با آنها، باید درخواست‌های افزونه را به دقت بررسی کنید.
  •         تعداد افزونه‌های مورد استفاده را در هر زمان محدود کنید و برنامه‌های افزودنی نصب شده خود را به صورت دوره‌ای بررسی نمایید. افزونه‌هایی را که دیگر استفاده نمی‌کنید یا نمی‌شناسید uninstall کنید.
  •         از راهکار امنیت قوی استفاده کنید. به عنوان مثال Private Browsing in Kaspersky Internet Security جلوی نظارت آنلاین را می‌گیرد و از تهدیدهای وبی شما را در امان نگه می‌دارد.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.