افزونه جعلی آفلاین گوگل داکس
افزونه جعلی Google Docs Offline یک افزونه مخرب مرورگر است که طوری طراحی شده تا به عنوان یک ابزار قانونی به نظر برسد. این افزونه که خود را به عنوان یک سرویس معتبر گوگل جا زده است، در واقع بخشی از یک کمپین حمله سایبری گستردهتر به نام GlassWorm است. این افزونه مستقیماً توسط کاربر نصب نمیشود؛ در عوض، به طور مخفیانه توسط بدافزارهای از پیش موجود از طریق یک اسکریپت مخرب به مرورگر تزریق میشود. پس از نصب، با افزونههای قانونی ترکیب میشود و تشخیص آن را دشوار میکند.
فهرست مطالب
نفوذ خاموش از طریق حملات زنجیرهای
این تهدید از طریق یک حمله زنجیرهای پیچیده که از پلتفرمهای آسیبپذیر مانند مخازن GitHub، بستههای npm و فروشگاههای افزونههای مرورگر استفاده میکند، گسترش مییابد. مجرمان سایبری پشت GlassWorm کد مخرب را در پروژهها یا بهروزرسانیهای نرمافزاری به ظاهر مشروع جاسازی میکنند و آنها را ایمن جلوه میدهند.
وقتی کاربران نرمافزار آلوده را نصب یا بهروزرسانی میکنند، کد پنهان در پسزمینه فعال میشود و افزونه جعلی را به مرورگر تزریق میکند. در برخی موارد، بدافزار از طریق مکانیسمهای بهروزرسانی فریبنده که بسیار شبیه فرآیندهای رسمی هستند، ارائه میشود و احتمال آلودگی موفقیتآمیز را بیشتر افزایش میدهد.
نظارت کامل بر مرورگر و جمعآوری دادهها
پس از نصب، این افزونهی جعلی به عنوان یک تروجان مدیریت از راه دور (RAT) عمل میکند و به مهاجمان کنترل گستردهای بر فعالیت مرورگر میدهد. این افزونه قادر به جمعآوری طیف گستردهای از اطلاعات حساس، از جمله موارد زیر است:
- کلیدهای فشردهشده، شامل اطلاعات ورود به سیستم و ورودیهای فرم
- کوکیها و دادههای جلسه فعال از وبسایتها
- کد کامل تبهای فعال مرورگر
- اسکرین شات از صفحات باز شده
- محتویات کلیپبورد و بوکمارکهای ذخیرهشده
- تاریخچه مرور (تا ۵۰۰۰ ورودی)
- جزئیات دستگاه و مرورگر، شامل سختافزار و دادههای GPU/WebGL
- اطلاعات مربوط به افزونههای نصبشده مرورگر
تمام دادههای جمعآوریشده دستهبندی شده و اغلب بدون هیچ نشانهای برای قربانی، به مجرمان سایبری منتقل میشوند.
پیامدهای جدی برای امنیت شخصی و سازمانی
سطح دسترسی اعطا شده توسط این افزونه مخرب، طیف گستردهای از دادههای حساس را در معرض خطر قرار میدهد. ایمیلهای خصوصی، پیامها، اسناد و سایر اطلاعات شخصی میتوانند در معرض خطر قرار گیرند. فعالیتهای مالی، از جمله جلسات بانکداری آنلاین، جزئیات پرداخت و حسابهای ارز دیجیتال که از طریق مرورگر قابل دسترسی هستند، به ویژه آسیبپذیر هستند.
مهاجمان میتوانند از این دادهها برای ربودن حسابها، سرقت وجوه، جعل هویت کاربران و انجام عملیات مخرب بیشتر سوءاستفاده کنند. هنگامی که این بدافزار روی یک دستگاه کاری نصب شود، میتواند به یک نقض امنیتی تمامعیار در شرکت تبدیل شود و بهطور بالقوه سیستمهای داخلی و دادههای محرمانه تجاری را به خطر بیندازد.
سوءاستفاده از کنترلهای مدیریت مرورگر
این افزونه علاوه بر قابلیتهای جاسوسی، ویژگی «مدیریتشده توسط سازمان شما» مرورگر را دستکاری میکند. در شرایط عادی، این تنظیم نشان میدهد که مرورگر توسط یک مدیر رسمی، مانند یک محیط شرکتی، کنترل میشود.
با سوءاستفاده از این ویژگی، بدافزار میتواند کنترل کاربر را محدود کند، از روشهای حذف استاندارد جلوگیری کند و دسترسی به تنظیمات مرورگر را محدود کند. این تاکتیک به افزونه مخرب کمک میکند تا پایداری خود را حفظ کند و برای مدت طولانی ناشناخته بماند.
یک تهدید مداوم و پرخطر
افزونه جعلی Google Docs Offline به دلیل تواناییاش در پنهان کردن خود، نظارت بر فعالیت کاربر و سرقت دادههای بسیار حساس، یک خطر جدی امنیت سایبری محسوب میشود. روشهای نصب مخفیانه و مکانیسمهای ماندگاری آن، آن را به طور ویژهای خطرناک میکند.
در صورت شناسایی، افزونه و هرگونه مؤلفه مخرب مرتبط باید فوراً حذف شوند تا از سرقت مداوم دادهها و احتمال نفوذ بلندمدت جلوگیری شود.
