افزونه های مخرب Chrome و Edge روش جدیدی برای پنهان کردن در 3 میلیون دستگاه داشتند


تصویر تلطیف شده از نوار آدرس در اینترنت.

در ماه دسامبر ، Ars گزارش داد که حداکثر 3 میلیون نفر به افزونه های مرورگر Chrome و Edge آلوده شده اند که باعث سرقت اطلاعات شخصی و هدایت کاربران به سایت های تبلیغاتی یا فیشینگ می شود. اکنون محققانی که این کلاهبرداری را کشف کردند مدت زمانی را که توسعه دهندگان برای پنهان کردن کارهای شنیع خود صرف کرده اند ، نشان دادند.

همانطور که قبلاً گزارش شده بود ، 28 پسوند موجود در مخازن رسمی گوگل و مایکروسافت به عنوان روشی برای بارگیری عکس ها ، فیلم ها یا سایر مطالب از سایت هایی از جمله Facebook ، Instagram ، Vimeo و Spotify تبلیغ شده است. در پشت صحنه ، آنها همچنین تاریخ تولد کاربر ، آدرس های ایمیل و اطلاعات دستگاه را جمع آوری کرده و کلیک ها و نتایج جستجو را به سایت های مخرب هدایت می کنند. گوگل و مایکروسافت در نهایت افزونه ها را حذف کردند.

محققان Avast مستقر در پراگ روز چهارشنبه گفتند که توسعه دهندگان برنامه های افزودنی از روش جدیدی برای پنهان کردن ترافیک مخرب ارسال شده بین دستگاه های آلوده و سرورهای مدیریت و کنترل که به آنها متصل بودند استفاده کردند. به طور خاص ، برنامه های افزودنی دستوراتی را در عناوین مدیریت حافظه پنهان ترافیکی که به صورت داده های مرتبط با Google Analytics که وب سایت ها از آنها برای اندازه گیری تعاملات بازدید کنندگان استفاده می کنند ، پوشانده اند ، هدف قرار می دهند.

محققان Avast با استناد به کمپینی مانند CacheFlow نوشتند:

CacheFlow به ویژه با این روش متمایز می شود که پسوندهای مخرب سعی می کنند با استفاده از عنوان Cache-Control HTTP درخواست تجزیه و تحلیل خود ، فرمان و کنترل ترافیک را در یک کانال مخفی پنهان کنند. ما معتقدیم که این یک تکنیک جدید است. علاوه بر این ، به نظر ما می رسد که ترافیکی به سبک Google Analytics نه تنها برای پنهان کردن دستورات مخرب اضافه شده است ، بلکه نویسندگان برنامه های افزودنی نیز به پرسش های تجزیه و تحلیل خود علاقه مند هستند. ما معتقدیم که آنها سعی کرده اند با یک راه حل دو مشکل فرماندهی و کنترل و به دست آوردن اطلاعات تحلیلی را حل کنند.

پسوندها ، Avast توضیح داد ، به نظر می رسد که درخواستهای تجزیه و تحلیل استاندارد Google را به https: //stats.script-protection ارسال کرده اند[.]com / __ utm.gif. سپس سرور حمله کننده با یک هدر Cache-Control که مخصوصاً ساخته شده است پاسخ خواهد داد ، سپس مشتری رمزگشایی ، تحلیل و اجرا خواهد کرد.

توسعه دهندگان برنامه های افزودنی از روش های دیگری برای پوشش دادن به آهنگ های خود استفاده کرده اند ، از جمله:

  • از آلوده کردن کاربرانی که احتمالاً توسعه دهنده وب یا محقق هستند ، خودداری کنید. توسعه دهندگان این کار را با مشاهده پسوندهایی که کاربران قبلاً نصب کرده بودند و بررسی اینکه آیا کاربر به وب سایت های محلی میزبانی شده دسترسی دارد ، انجام دادند. علاوه بر این ، اگر یک برنامه افزودنی تشخیص دهد که ابزارهای توسعه دهنده مرورگر باز هستند ، به سرعت عملکرد مخرب آن را غیرفعال می کند.
  • سه روز پس از عفونت صبر کنید تا عملکرد مخرب فعال شود.
  • جستجوی جستجوی گوگل هر کاربر را بررسی کنید. در صورت درخواست افزونه های سرور که برای فرمان و کنترل استفاده می شوند ، برنامه های افزودنی بلافاصله فعالیت مخرب را متوقف می کنند.

در اینجا یک مرور کلی از نحوه کار افزونه ها وجود دارد:

اوست

بر اساس بررسی های کاربران درباره برخی از برنامه های افزودنی ، به نظر می رسد کمپین CacheFlow از اکتبر 2017 فعال است. Avast گفت اقدامات پنهانکاری نشان داده شده ممکن است دلیل عدم شناسایی کمپین برای مدت طولانی را توضیح دهد

کشورهایی که بیشترین تعداد کاربران آلوده را دارند ، برزیل ، اوکراین و فرانسه هستند.

اوست

در پوشش قبلی Ars ، نام هر 28 افزونه که مخرب شناخته شده اند ذکر شده است. ردیابی روز چهارشنبه Avast شاخص های بیشتری را برای معامله فراهم می کند که افراد می توانند بررسی کنند که آیا آلوده هستند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>