افزونه‌های کرومِ دزد اطلاعات

تحلیلگران امنیتی یک افزونه‌ی مخرب گوگل کروم را شناسایی کرده‌اند که برای جمع‌آوری داده‌های حساس از محیط‌های Meta Business مهندسی شده است. این افزونه، CL Suite توسط CLMasters@، خود را به عنوان ابزاری برای بهره‌وری کاربران Meta Business Suite و Facebook Business Manager معرفی می‌کند. این افزونه که به عنوان ابزاری برای جمع‌آوری داده‌های تجاری، دور زدن دستورالعمل‌های تأیید و تولید کدهای احراز هویت دو مرحله‌ای (2FA) تبلیغ می‌شود، در تاریخ ۱ مارس ۲۰۲۵ در فروشگاه وب کروم منتشر شد.

علیرغم ادعاهای موجود در سیاست حفظ حریم خصوصی این افزونه مبنی بر اینکه اطلاعات احراز هویت دو مرحله‌ای و داده‌های مدیریت کسب و کار (Business Manager) همچنان محدود به محیط محلی هستند، تحلیل‌های فنی واقعیت متفاوتی را آشکار می‌کنند. این افزونه مجوزهای گسترده‌ای را برای دامنه‌های meta.com و facebook.com درخواست می‌کند و مخفیانه اطلاعات حساس را به زیرساخت‌های تحت کنترل مهاجم منتقل می‌کند.

قابلیت‌های خروج مخفیانه داده‌ها

این افزونه به‌طور مخفیانه داده‌های ارزشمند را از جلسات احراز هویت‌شده‌ی Meta جمع‌آوری و صادر می‌کند. اطلاعات استخراج‌شده به یک backend میزبانی‌شده در getauth[.]pro ارسال می‌شود، و یک مکانیسم اختیاری برای ارسال همان payloadها به یک کانال تلگرامی که توسط عامل تهدید اداره می‌شود، وجود دارد.

دامنه کامل قابلیت‌های جمع‌آوری داده این افزونه شامل موارد زیر است:

• سرقت سیدهای TOTP و کدهای فعال 2FA که برای ایمن‌سازی حساب‌های Meta و Facebook Business استفاده می‌شدند
• استخراج داده‌های «افراد» مدیر کسب و کار، که در فایل‌های CSV شامل نام‌ها، آدرس‌های ایمیل، نقش‌های تعیین‌شده، سطوح مجوز و وضعیت‌های دسترسی گردآوری شده‌اند.
• شمارش موجودیت‌های مدیر کسب و کار و دارایی‌های مرتبط، شامل حساب‌های تبلیغاتی، صفحات مرتبط، اتصالات دارایی، پیکربندی‌های صورتحساب و جزئیات پرداخت

اگرچه این افزونه مستقیماً رمزهای عبور را ضبط نمی‌کند، اما مهاجمان می‌توانند رمزهای عبور یکبار مصرف مبتنی بر زمان سرقت شده را با اعتبارنامه‌های استخراج شده از گزارش‌های سرقت اطلاعات یا پایگاه‌های داده فاش شده ترکیب کنند تا به صورت غیرمجاز به حساب کاربری دسترسی پیدا کنند.

محققان امنیتی هشدار می‌دهند که حتی با وجود پایگاه نصب نسبتاً کوچک، اطلاعات جمع‌آوری‌شده برای شناسایی اهداف شرکتی با ارزش بالا و تسهیل حملات بعدی کافی است.

اسکرپینگ در لباس بهره‌وری

مورد CL Suite نشان می‌دهد که چگونه افزونه‌های مرورگر با دامنه محدود می‌توانند برداشت تهاجمی داده‌ها را به عنوان پیشرفت‌های مشروع گردش کار پنهان کنند. ویژگی‌هایی مانند استخراج مخاطبین، جمع‌آوری تجزیه و تحلیل، جلوگیری از نمایش پنجره‌های تأیید هویت و تولید 2FA در مرورگر، ابزارهای بی‌طرفی نیستند. در عوض، آنها به عنوان اسکریپرهای هدفمندی عمل می‌کنند که برای استخراج لیست مخاطبین، فراداده‌ها و اطلاعات احراز هویت مستقیماً از رابط‌های تجاری Meta تأیید شده طراحی شده‌اند.

چنین افزونه‌هایی با جاسازی خود در گردش‌های کاری مورد اعتماد، سوءظن کاربر را دور می‌زنند و در مرزهای امنیتی جلسات فعال عمل می‌کنند.

کمپین AiFrame: دستیاران هوش مصنوعی به پروکسی‌های داده تبدیل شدند

در یک کمپین جداگانه اما هماهنگ با نام AiFrame، محققان ۳۲ افزونه مرورگر را کشف کردند که به عنوان دستیارهای مبتنی بر هوش مصنوعی برای خلاصه‌سازی، چت، پشتیبانی نوشتاری و بهره‌وری جیمیل به بازار عرضه شده بودند. در مجموع، این افزونه‌ها بیش از ۲۶۰،۰۰۰ نصب داشته‌اند.

اگرچه این افزونه‌ها ظاهراً قانونی به نظر می‌رسند، اما به معماری از راه دور و سرور-محور متکی هستند. آن‌ها به جای پردازش داده‌ها به صورت محلی، پوشش‌های iframe تمام صفحه را تعبیه می‌کنند که به دامنه claude.tapnetic[.]pro متصل می‌شوند. این طراحی به اپراتورها امکان می‌دهد تا بدون نیاز به انتشار به‌روزرسانی‌ها از طریق فروشگاه وب کروم، قابلیت‌های جدید را به صورت پویا معرفی کنند.

این افزونه‌ها پس از استقرار، به عنوان واسطه‌های ممتاز بین مرورگر و زیرساخت از راه دور عمل می‌کنند. وقتی فعال می‌شوند، تب فعال را بررسی کرده و از کتابخانه خوانایی موزیلا برای استخراج محتوای مقاله استفاده می‌کنند. قابلیت‌های اضافی شامل شروع تشخیص گفتار و انتقال رونوشت‌های ضبط شده به سرورهای خارجی است.

زیرمجموعه‌ای از این افزونه‌ها به‌طور خاص جیمیل را هدف قرار می‌دهند. وقتی کاربران به mail.google.com دسترسی پیدا می‌کنند و ویژگی‌های پاسخ یا خلاصه‌سازی مبتنی بر هوش مصنوعی را فعال می‌کنند، محتوای ایمیل قابل مشاهده مستقیماً از مدل شیء سند (DOM) استخراج شده و به سیستم‌های پشتیبان شخص ثالث که توسط اپراتورها کنترل می‌شوند، منتقل می‌شود. در نتیجه، محتوای ایمیل و فراداده‌های متنی ممکن است بدون اطلاع کاربر، فراتر از محیط محافظت‌شده جیمیل به سرورهای راه دور منتقل شوند.

سوءاستفاده از افزونه‌ها در مقیاس بزرگ و دلالی داده‌ها

سوءاستفاده از افزونه‌های مرورگر محدود به کمپین‌های جداگانه نیست. محققان همچنین ۲۸۷ افزونه کروم را شناسایی کرده‌اند که در مجموع ۳۷.۴ میلیون بار نصب شده‌اند، تقریباً ۱٪ از پایگاه کاربر جهانی کروم، و تاریخچه مرور را به دلالان داده منتقل می‌کنند.

تحقیقات قبلی نشان داده است که چگونه داده‌های مرور جمع‌آوری‌شده توسط شرکت‌هایی مانند Similarweb و Alexa جمع‌آوری و از آنها کسب درآمد می‌شود. این یافته‌ها، مقیاسی را که نظارت مبتنی بر افزونه‌ها می‌تواند در آن عمل کند، برجسته می‌کند.

تقویت دفاع در برابر افزونه‌های مخرب

با توجه به چشم‌انداز رو به افزایش تهدیدها، سازمان‌ها و کاربران شخصی باید شیوه‌های مدیریت توسعه‌ی منظمی را اتخاذ کنند. اقدامات دفاعی مؤثر شامل موارد زیر است:

• فقط افزونه‌های ضروری و تایید شده از بازارهای رسمی را نصب کنید
• انجام ممیزی‌های دوره‌ای از افزونه‌های نصب‌شده برای تشخیص مجوزهای بیش از حد یا رفتار غیرعادی

افزونه‌های مرورگر با امتیازات قابل توجهی در جلسات قابل اعتماد عمل می‌کنند. بدون نظارت دقیق، آنها می‌توانند به مجاری قدرتمندی برای استخراج داده‌ها و به خطر انداختن اعتبارنامه‌ها تبدیل شوند.