هشدار امنیتی: کشف ۱۵۲ افزونه مخرب کروم با قابلیت جعل ترافیک گوگل

کشف ۱۵۲ افزونه مخرب کروم با قابلیت جعل ترافیک گوگل

هشدار امنیتی: کشف ۱۵۲ افزونه مخرب کروم با قابلیت جعل ترافیک گوگل

پژوهشگران امنیت سایبری به‌تازگی شبکه‌ای گسترده شامل ۱۵۲ افزونه Google Chrome را شناسایی کرده‌اند که تحت پوشش افزونه‌های «والپیپر زنده» (Live Wallpaper)، اقدام به توزیع برنامه‌های ناخواسته (PUP) و فعالیت‌های تبلیغاتی مشکوک می‌کنند. این افزونه‌ها که بر روی بیش از ۱۰۵ هزار مرورگر نصب شده‌اند، نه تنها حریم خصوصی کاربران را هدف قرار داده، بلکه با استفاده از تکنیک‌های پیچیده، اقدام به جعل ترافیک ارگانیک گوگل می‌کنند. در این مقاله از مدیران شبکه برنا، به بررسی ابعاد فنی این تهدید و راهکارهای مقابله با آن می‌پردازیم.

ماهیت حمله و شبکه‌ی توزیع

بر اساس تحلیل‌های امنیتی، این خوشه افزونه‌ها میان ۳۸ حساب کاربری مختلف در فروشگاه رسمی کروم (Chrome Web Store) توزیع شده‌اند. این زیرساخت غیرمتمرکز به سه دامین اصلی متصل است که همگی با هدف کسب درآمد از طریق تبلیغات و داده‌کاوی مدیریت می‌شوند. این کمپین، نمونه‌ای کلاسیک از یک عملیات تجاری مخرب است که ترکیبی از adware، سرقت داده‌های کاربران و فریب سیستم‌های تحلیل ترافیک (Traffic Attribution Fraud) را دنبال می‌کند.

چرا افزونه‌های «ظاهراً بی‌خطر» ریسک امنیتی دارند؟

بسیاری از کاربران تصور می‌کنند افزونه‌های شخصی‌سازی، تم و والپیپر، ابزارهایی ایمن و بی‌ضرر هستند. اما از دیدگاه امنیت سایبری، این افزونه‌ها دسترسی‌های گسترده‌ای به مرورگر دارند. آن‌ها می‌توانند صفحه تب جدید را کنترل کنند، تب‌های جدید باز کنند و درخواست‌های شبکه ارسال کنند.

تناقض در حریم خصوصی؛ فریب کاربر

یکی از نکات نگران‌کننده، تناقض آشکار میان ادعای افزونه‌ها در صفحه فروشگاه کروم و سیاست حریم خصوصی آن‌هاست. در حالی که در فروشگاه ادعا شده هیچ داده‌ای جمع‌آوری نمی‌شود، سیاست حریم خصوصی صراحتاً به ثبت آدرس IP، ارائه‌دهنده اینترنت، و ارسال داده‌های تعاملی برای شرکای شخص ثالث اشاره دارد.

 تصویر مفهومی نشت داده‌ها و ریسک‌های امنیتی حریم خصوصی کاربران
تصویر مفهومی نشت داده‌ها و ریسک‌های امنیتی حریم خصوصی کاربران

جعل ترافیک ارگانیک: فریب سیستم‌های تبلیغاتی

یکی از جنبه‌های فنی و خطرناک این کمپین، جعل ترافیک ارگانیک است. این افزونه‌ها با استفاده از کدهای JavaScript، به گونه‌ای عمل می‌کنند که سیستم‌های تحلیلگر تصور می‌کنند کاربر از طریق «جستجوی ارگانیک گوگل» وارد سایت‌های تبلیغاتی شده است.

این «ترافیک مصنوعی» باعث می‌شود تا صاحبان این کمپین، مبالغ کلانی را از شبکه‌های تبلیغاتی به صورت غیرقانونی دریافت کنند. همچنین، در هنگام حذف افزونه نیز، سیگنال‌های جعلی ارسال می‌شود تا سیستم‌های تحلیلی، آن را به عنوان یک تعامل واقعی انسانی ثبت کنند.

 تحلیل ترافیک وب و دستکاری داده‌های آماری وب‌سایت
تحلیل ترافیک وب و دستکاری داده‌های آماری وب‌سایت

قابلیت مشکوک پاک‌سازی IndexedDB

بررسی کدهای این افزونه‌ها نشان داد که آن‌ها دارای قابلیت غیرفعال (Dormant) برای شناسایی و حذف تمامی پایگاه‌های داده IndexedDB در مرورگر هستند. IndexedDB محلی است که وب‌سایت‌ها داده‌های محلی خود را ذخیره می‌کنند. اگرچه در زمان تحلیل، این قابلیت فعال نبود، اما وجود آن نشان می‌دهد که گردانندگان این کمپین می‌توانند در سناریوهای بعدی، دست به حذف ردپا یا سرقت داده‌های محلی کاربران بزنند.

توصیه‌های امنیتی برای کاربران و سازمان‌ها

برای مقابله با چنین تهدیداتی و حفظ امنیت شبکه، تیم‌های IT و کاربران باید اقدامات زیر را به‌صورت جدی دنبال کنند:

  1. پالایش افزونه‌ها: افزونه‌های غیرضروری، به‌ویژه افزونه‌های شخصی‌سازی را از مرورگرها حذف کنید.
  2. مدیریت متمرکز: نصب افزونه‌ها باید از طریق Policyهای مدیریتی و ایجاد Allowlist محدود شود.
  3. بررسی مجوزها: پیش از نصب، مجوزهای درخواستی را با سیاست حریم خصوصی مقایسه کنید.

اگر نیازمند بررسی وضعیت امنیت شبکه سازمان خود هستید، تیم تخصصی مدیران شبکه برنا آماده ارائه مشاوره و خدمات امنیت سایبری (EDR/DLP) است. برای مشاوره تماس بگیرید: ۰۲۱-۷۴۰۲۸

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر