هشدار امنیتی: کشف ۱۵۲ افزونه مخرب کروم با قابلیت جعل ترافیک گوگل
پژوهشگران امنیت سایبری بهتازگی شبکهای گسترده شامل ۱۵۲ افزونه Google Chrome را شناسایی کردهاند که تحت پوشش افزونههای «والپیپر زنده» (Live Wallpaper)، اقدام به توزیع برنامههای ناخواسته (PUP) و فعالیتهای تبلیغاتی مشکوک میکنند. این افزونهها که بر روی بیش از ۱۰۵ هزار مرورگر نصب شدهاند، نه تنها حریم خصوصی کاربران را هدف قرار داده، بلکه با استفاده از تکنیکهای پیچیده، اقدام به جعل ترافیک ارگانیک گوگل میکنند. در این مقاله از مدیران شبکه برنا، به بررسی ابعاد فنی این تهدید و راهکارهای مقابله با آن میپردازیم.

ماهیت حمله و شبکهی توزیع
بر اساس تحلیلهای امنیتی، این خوشه افزونهها میان ۳۸ حساب کاربری مختلف در فروشگاه رسمی کروم (Chrome Web Store) توزیع شدهاند. این زیرساخت غیرمتمرکز به سه دامین اصلی متصل است که همگی با هدف کسب درآمد از طریق تبلیغات و دادهکاوی مدیریت میشوند. این کمپین، نمونهای کلاسیک از یک عملیات تجاری مخرب است که ترکیبی از adware، سرقت دادههای کاربران و فریب سیستمهای تحلیل ترافیک (Traffic Attribution Fraud) را دنبال میکند.
چرا افزونههای «ظاهراً بیخطر» ریسک امنیتی دارند؟
بسیاری از کاربران تصور میکنند افزونههای شخصیسازی، تم و والپیپر، ابزارهایی ایمن و بیضرر هستند. اما از دیدگاه امنیت سایبری، این افزونهها دسترسیهای گستردهای به مرورگر دارند. آنها میتوانند صفحه تب جدید را کنترل کنند، تبهای جدید باز کنند و درخواستهای شبکه ارسال کنند.
تناقض در حریم خصوصی؛ فریب کاربر
یکی از نکات نگرانکننده، تناقض آشکار میان ادعای افزونهها در صفحه فروشگاه کروم و سیاست حریم خصوصی آنهاست. در حالی که در فروشگاه ادعا شده هیچ دادهای جمعآوری نمیشود، سیاست حریم خصوصی صراحتاً به ثبت آدرس IP، ارائهدهنده اینترنت، و ارسال دادههای تعاملی برای شرکای شخص ثالث اشاره دارد.

جعل ترافیک ارگانیک: فریب سیستمهای تبلیغاتی
یکی از جنبههای فنی و خطرناک این کمپین، جعل ترافیک ارگانیک است. این افزونهها با استفاده از کدهای JavaScript، به گونهای عمل میکنند که سیستمهای تحلیلگر تصور میکنند کاربر از طریق «جستجوی ارگانیک گوگل» وارد سایتهای تبلیغاتی شده است.
این «ترافیک مصنوعی» باعث میشود تا صاحبان این کمپین، مبالغ کلانی را از شبکههای تبلیغاتی به صورت غیرقانونی دریافت کنند. همچنین، در هنگام حذف افزونه نیز، سیگنالهای جعلی ارسال میشود تا سیستمهای تحلیلی، آن را به عنوان یک تعامل واقعی انسانی ثبت کنند.

قابلیت مشکوک پاکسازی IndexedDB
بررسی کدهای این افزونهها نشان داد که آنها دارای قابلیت غیرفعال (Dormant) برای شناسایی و حذف تمامی پایگاههای داده IndexedDB در مرورگر هستند. IndexedDB محلی است که وبسایتها دادههای محلی خود را ذخیره میکنند. اگرچه در زمان تحلیل، این قابلیت فعال نبود، اما وجود آن نشان میدهد که گردانندگان این کمپین میتوانند در سناریوهای بعدی، دست به حذف ردپا یا سرقت دادههای محلی کاربران بزنند.
توصیههای امنیتی برای کاربران و سازمانها
برای مقابله با چنین تهدیداتی و حفظ امنیت شبکه، تیمهای IT و کاربران باید اقدامات زیر را بهصورت جدی دنبال کنند:
- پالایش افزونهها: افزونههای غیرضروری، بهویژه افزونههای شخصیسازی را از مرورگرها حذف کنید.
- مدیریت متمرکز: نصب افزونهها باید از طریق Policyهای مدیریتی و ایجاد Allowlist محدود شود.
- بررسی مجوزها: پیش از نصب، مجوزهای درخواستی را با سیاست حریم خصوصی مقایسه کنید.
اگر نیازمند بررسی وضعیت امنیت شبکه سازمان خود هستید، تیم تخصصی مدیران شبکه برنا آماده ارائه مشاوره و خدمات امنیت سایبری (EDR/DLP) است. برای مشاوره تماس بگیرید: ۰۲۱-۷۴۰۲۸





