محققان امنیت سایبری اخیراً دو افزونه مخرب Google Chrome با نام یکسان و منتشرشده توسط یک توسعهدهنده شناسایی کردهاند که قادر به ردگیری ترافیک و سرقت اطلاعات احراز هویت کاربران هستند.
این افزونهها با عنوان “افزونه تست سرعت شبکه چندمحلی” برای توسعهدهندگان و فعالان تجارت خارجی تبلیغ شدهاند. هر دو نسخه همچنان قابل دانلود هستند و جزئیات آنها به شرح زیر است:
Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – ۲,۰۰۰ کاربر (منتشر شده در ۲۶ نوامبر ۲۰۱۷)
Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – ۱۸۰ کاربر (منتشر شده در ۲۷ آوریل ۲۰۲۳)
طبق گزارش Kush Pandya از Socket Security، کاربران با پرداخت اشتراکهای ۹.۹ تا ۹۵.۹ یوان چین (معادل ۱.۴ تا ۱۳.۵ دلار آمریکا) تصور میکنند یک سرویس VPN قانونی خریداری کردهاند، اما هر دو نسخه عملیات مخرب یکسانی را انجام میدهند.
نحوه عملکرد مخرب دو افزونه مخرب Google Chrome
افزونهها با اجرای تزریق اعتبارنامههای احراز هویت و عملکرد بهعنوان پروکسیهای Man-in-the-Middle (MitM)، تمامی ترافیک کاربران را به سرور کنترل مهاجم (C2) منتقل میکنند.
پس از پرداخت کاربران، حالت VIP فعال شده و افزونه حالت پروکسی Smarty را به طور خودکار روشن میکند که ترافیک بیش از ۱۷۰ دامنه هدف را از طریق زیرساخت مهاجم مسیریابی میکند.
با وجود عملکرد واقعی برای تست تأخیر و نمایش وضعیت اتصال، هدف اصلی افزونهها سرقت اطلاعات و ردگیری ترافیک کاربران است.
جزئیات فنی حمله
دو کتابخانه JavaScript به نامهای jquery-1.12.2.min.js و scripts.js شامل کد مخرب هستند.
افزونه با ثبت listener روی chrome.webRequest.onAuthRequired، اعتبارنامههای ثابت (
topfany / 963852wei) را به تمامی چالشهای احراز هویت HTTP تزریق میکند.سه حالت پروکسی قابل تنظیم است:
close: غیرفعال کردن پروکسی
always: مسیریابی تمام ترافیک از طریق پروکسی
smarty: مسیریابی بیش از ۱۷۰ دامنه حیاتی از جمله پلتفرمهای توسعهدهنده (GitHub، Stack Overflow)، خدمات ابری (AWS، Azure)، راهکارهای سازمانی (Cisco، IBM)، شبکههای اجتماعی (Facebook، Instagram) و سایتهای بزرگسالان
محققان Socket معتقدند استفاده از سایتهای پورن ممکن است برای اخاذی از قربانیان باشد.
پیامدهای امنیتی
افزونه با حفظ heartbeat ۶۰ ثانیهای به سرور C2، ایمیل و رمز عبور کاربران VIP را هر ۵ دقیقه به صورت متن ساده ارسال میکند.
این عملیات باعث سرقت مستمر اطلاعات، شامل پسورد، شماره کارت، کوکیها، تاریخچه مرورگر، داده فرمها، API Key و توکنهای دسترسی میشود.
سرقت اطلاعات توسعهدهندگان ممکن است راه را برای حملات زنجیره تأمین (Supply Chain Attacks) هموار کند.
نشانهها و توصیهها
این عملیات به احتمال زیاد از چین مدیریت میشود، چرا که توضیحات افزونه به زبان چینی است، پرداختها از طریق Alipay / WeChat Pay انجام میشود و سرور C2 روی Alibaba Cloud میزبانی شده است.
کاربران باید افزونهها را فوراً حذف کنند.
تیمهای امنیتی باید:
از Allowlisting افزونهها استفاده کنند
به افزونههای دارای سیستم اشتراک و دسترسی پروکسی حساس باشند
نظارت شبکه برای درخواستهای احراز هویت پروکسی مشکوک را اعمال کنند
