با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

افزونه‌های کروم بار دیگر بازیچه‌ی دست مهاجمان

خلاصه: محققان امنیتی دوباره به کاربران در رابطه با یک کمپین بدافزاری جدید که از ماه مارچ فعال است، هشدار دادند. این بدافزار بیش از 100000 کاربر را در سرتاسر جهان آلوده کرده است. این بدافزار که Nigelthorn نامید می‌شود، به سرعت از طریق لینک‌های روی فیسبوک در حال توزیع است و سیستم‌های قربانیان را با افزونه‌های مخرب مرورگر آلوده کرده و مجوزهای رسانه‌های اجتماعی آن‌ها را می‌دزدد.

محققان امنیتی دوباره به کاربران در رابطه با یک کمپین بدافزاری جدید که از ماه مارچ فعال است، هشدار دادند. این بدافزار بیش از 100000 کاربر را در سرتاسر جهان آلوده کرده است.

این بدافزار که Nigelthorn نامید می‌شود، به سرعت از طریق لینک‌های روی فیسبوک در حال توزیع است و سیستم‌های قربانیان را با افزونه‌های مخرب مرورگر آلوده کرده و مجوزهای رسانه‌های اجتماعی آن‌ها را می‌دزدد، همچنین این افزونه‌ها استخراج‌کننده‌های رمز-ارز را نیز بر روی سیستم قربانی نصب می‌کنند.

نتیجه تصویری برای ‪7 Chrome Extensions Spreading Through Facebook Caught Stealing Passwords Thursday, May 10, 2018 Swati Khandelwal‬‏

افزونه‌های مخرب مرورگر کروم، ایتدا توسط محققان شرکت امنیتی Radware کشف شدند. براساس گزارش‌های منتشرشده توسط Radware، اپراتورهای بدافزار از یک کپی از افزونه‌های قانونی کروم استفاده می‌کنند، و یک اسکریپت مخرب مبهم‌شده به آن تزریق می‌کنند، تا بررسی‌های گوگل را دور بزنند.

Nigelthorn از طریق لینک‌هایی در فیسبوک توزیع می‌شود که پس از کلیک، قربانیان را به یک صفحه‌ی یوتیوب تقلبی هدایت می‌کنند، و از آن‌ها می‌خواهند تا برای ادامه‌ی پخش ویدئو افزونه‌ی مخرب کروم را دانلود کنند.

هنگامی که افزونه نصب شد، یک کد جاوااسکریپت مخرب را اجرا می‌کند که کامپیوتر قربانی را به بخشی از یک بات‌نت تبدیل می‌کند.

این بدفزار جدید بیشتر بر روی دزدیدن مجوزهای حساب‌های اینستاگرام و فیسبوک قربانیان متمرکز است و اطلاعات حساب‌های فیسبوک آن‌ها را جمع‌آوری می‌کند.

اطلاعات دزدیده شده، برای ارسال لینک‌های مخرب به دوستان قربانی استفاده می‌شود، مهاجمان با این کار افراد بیشتری را با افزونه‌های مخرب آلوده می‌کنند.

بدافزار NigelThorn یک ابزار استخراج رمز-ارز را نیز دانلود می‌کند، تا به‌عنوان افزونه سیستم‌های آلوده را به استخراج رمز-ارزهایی مانند مونرو، بایت‌کوین یا الکترونیوم وادارد.

در زیر لیست افزونه‌های مخرب کروم آورده شده‌اند:

  • Nigelify—حدود 25000 بار نصب
  • PwrneLike—حدود 9000 نصب
  • Alt-j—حذف شده در کم‌تر از یک روز
  • Fix-case—حذف شده در کمتر از یک روز
  • Divinity 2 Orginal Sin: Wiki Skill Popup—حذف شده در کمتر از یک روز
  • Keeprivate—حذف شده در کمتر از یک روز
  • iHabno—اپلیکیشن جدید

گوگل همه‌ی افزونه‌های لیست‌شده در بالا را حذف کرده است، اگر شما هریک از آن‌ها را نصب کرده‌اید، توصیه می‌شود که فورا آن را حذف کنید و رمزعبور فیسبوک و اینستاگرام و هر حساب دیگری که با یک رمزعبور یکسان به آن وارد می‌شدید را تغییر دهید.

به کاربران توصیه می‌شود که نسبت به کلیک بر روی لینک‌ها و فایل‌هایی که از طریق پلتفرم‌های رسانه‌های اجتماعی فراهم می‌شوند، حساسیت بیشتری به‌خرج دهند.