🧩 کشف ۱۳۱ افزونه مخرب کروم که از نسخه وب واتساپ برای کمپین گسترده اسپم استفاده می‌کنند!

پژوهشگران امنیت سایبری از یک کمپین سازمان‌یافته پرده برداشتند که از ۱۳۱ نسخه جعلی و بازبرندسازی‌شده از یک افزونه نسخه وب واتساپ برای مرورگر گوگل کروم جهت ارسال انبوه پیام‌های اسپم استفاده می‌کند.

بر اساس گزارش شرکت امنیت زنجیره تأمین Socket، این ۱۳۱ افزونه دارای کد منبع، الگوهای طراحی و زیرساخت مشابه هستند و در مجموع حدود ۲۰٬۹۰۵ کاربر فعال دارند.

کیرل بویچنکو، پژوهشگر امنیتی Socket گفت:

«این افزونه‌ها در ظاهر بدافزار کلاسیک نیستند، اما مانند ابزارهای خودکار پرخطر عمل می‌کنند که با دور زدن قوانین پلتفرم، پیام‌رسانی انبوه را ممکن می‌سازند. کد این افزونه‌ها مستقیماً در صفحه واتساپ وب تزریق می‌شود و در کنار اسکریپت‌های اصلی واتساپ اجرا شده و عملکردهایی مانند زمان‌بندی و ارسال انبوه پیام را به‌صورت خودکار انجام می‌دهد.»

هدف نهایی این کمپین، ارسال انبوه پیام‌ها از طریق واتساپ با دور زدن محدودیت‌های ضداسپم و نرخ ارسال پیام‌ها است.

🔍 جزئیات فنی و شرکت‌های دخیل

طبق بررسی‌ها، این فعالیت دست‌کم ۹ ماه است که ادامه دارد و آخرین نسخه‌ها تا ۱۷ اکتبر ۲۰۲۵ در Chrome Web Store مشاهده شده‌اند.
نمونه‌هایی از این افزونه‌ها عبارت‌اند از:

• YouSeller (با ۱۰٬۰۰۰ کاربر)

• performancemais (۲۳۹ کاربر)

• Botflow (۳۸ کاربر)

• ZapVende (۳۲ کاربر)

بیشتر این افزونه‌ها توسط ناشران با نام‌های “WL Extensão” و “WLExtensao” منتشر شده‌اند.
به نظر می‌رسد تفاوت برندها نتیجه‌ی مدل نمایندگی یا فرنچایز است که به وابستگان اجازه می‌دهد نسخه‌های کلون از افزونه اصلی شرکت DBX Tecnologia را با نام تجاری خود در فروشگاه کروم منتشر کنند.

💬 ادعای ظاهری و هدف واقعی

افزونه‌ها خود را به‌عنوان ابزارهای مدیریت ارتباط با مشتری (CRM) برای واتساپ معرفی می‌کنند و وعده می‌دهند با این افزونه‌ها می‌توان فروش و ارتباطات را از طریق نسخه وب واتساپ بهینه کرد.

در توضیحات افزونه «ZapVende» آمده است:

«واتساپ خود را به یک ابزار قدرتمند فروش و مدیریت ارتباطات تبدیل کنید. با ZapVende می‌توانید پیام‌رسانی انبوه، زمان‌بندی، و مدیریت مشتریان را به‌صورت کارآمد انجام دهید.»

اما در واقعیت، هدف اصلی این افزونه‌ها ارسال اسپم خودکار در مقیاس بالا است.
بر اساس یافته‌های Socket، شرکت DBX Tecnologia حتی یک برنامه‌ی همکاری فروش (white-label) ارائه کرده که به نمایندگان اجازه می‌دهد نسخه شخصی‌سازی‌شده از این افزونه را بفروشند.

⚠️ تخلف از سیاست‌های گوگل و سوءاستفاده از واتساپ

این فعالیت‌ها به‌طور مستقیم با سیاست مبارزه با اسپم گوگل در Chrome Web Store مغایرت دارند، زیرا ارسال چندین افزونه با عملکرد مشابه در این پلتفرم ممنوع است.
علاوه بر این، DBX Tecnologia در یوتیوب ویدیوهایی منتشر کرده که نحوه‌ی دور زدن الگوریتم‌های ضداسپم واتساپ را توضیح می‌دهند.

بویچنکو توضیح داد:

«این مجموعه از نسخه‌های تقریباً یکسان تشکیل شده اند که در حساب‌های ناشران مختلف منتشر شده‌اند و هدف‌شان اجرای کمپین‌های پیام‌رسانی انبوه بدون تأیید کاربر است.»

این افشاگری در حالی صورت گرفته که شرکت‌های Trend Micro، Sophos و Kaspersky نیز اخیراً از کمپینی گسترده خبر داده‌اند که کاربران را با کرم واتساپ SORVEPOTEL هدف قرار می‌دهد؛ بدافزاری که برای توزیع تروجان بانکی Maverick به کار می‌رود.

منابع:

https://thehackernews.com/2025/10/131-chrome-extensions-caught-hijacking.html