در روزهای اخیر، خبر شوکهکنندهای در رسانههای امنیت سایبری منتشر شد: بیش از ۴٫۳ میلیون کاربر مرورگرهای Google Chrome و Microsoft Edge هدف یک کمپین مخرب گسترده قرار گرفتند. این حمله، که توسط محققان امنیتی کشف و تحلیل شد، نشان میدهد مهاجمان با استفاده از افزونههای جعلی مرورگر (Malicious Extensions) اقدام به سرقت اطلاعات، رهگیری فعالیتها و ایجاد درهای پشتی کردهاند.
🔍 مهاجمان چطور کاربران Chrome و Edge را آلوده کردند؟
بر اساس گزارش محققان، تاکتیک مهاجمان شامل سه مرحله اصلی بوده است:
۱. ساخت افزونههای تقلبی با ظاهر قانونی
مهاجمان از نامهای شبیهسازیشده و آیکونهای مشابه افزونههای واقعی استفاده کردند تا کاربران را به نصب آنها ترغیب کنند. این روش سالها در حملات گروههایی مثل ShadyPanda، Magnat، NullMixer و حتی APT گروههای چینمحور مشاهده شده است.
۲. تزریق کدهای مخرب برای کنترل مرورگر
افزونهها پس از نصب میتوانستند:
✔️ تاریخچه مرورگر را سرقت کنند
✔️ کوکیهای نشست (Session Cookies) را بدزدند
✔️ درخواستهای کاربر را به سایتهای phishing هدایت کنند
✔️ اطلاعات ورود را استخراج کنند
✔️ روی ترافیک رمزگذارینشده شنود کنند
این دقیقاً همان الگوی حملات «Browser Hijacking» است.
۳. ارتباط با زیرساخت C2 برای کنترل و دریافت فرمان
افزونهها با سرورهای C2 مهاجمان در تماس بودهاند تا داده بدزدند یا از راه دور فرمان دریافت کنند، که بسیار شبیه تاکتیکهای APTهاست.
🧨 چه دادههایی به سرقت رفته است؟
طبق تحلیلها، دادههای زیر در بین قربانیان هدف قرار گرفته است:
✔️ کوکیهای احراز هویت
✔️ تاریخچه و URLهای بازدید شده
Token ✔️های سشن
✔️ اطلاعات ورود به سایتها
✔️ تنظیمات امنیتی مرورگر
✔️ کلیدهای ذخیرهشده Autofill
این نوع دادهها، برای نفوذ به حسابهای بانکی، ایمیلها، CRMها، وب سرویسها و شبکههای سازمانی استفاده میشود.
🛑 این حمله چرا خطرناکتر از یک بدافزار معمولی است؟
1. افزونههای جعلی به راحتی از دید آنتیویروس فرار میکنند.
2. کاربران معمولاً افزونهها را ایمنتر از فایلهای اجرایی میدانند.
3. حمله بدون نیاز به فایل (Fileless) انجام میشود.
4. مهاجمان با دسترسی به کوکیها میتوانند بدون رمز عبور وارد حساب کاربران شوند.
5. این مدل حمله بسیار شبیه به عملیات گروههای ShadyPanda و Tomiris است.
🧪 شاخصهای آلودگی (IoCs) : مناسب تیمهای Blue Team و SOC
رفتارهای قابل مشاهده:
✔ تغییر خودکار تنظیمات مرورگر
✔ ریدایرکتهای ناگهانی به سایتهای مشکوک
✔ افزایش مصرف CPU هنگام باز بودن مرورگر
✔ افزونههایی با تعداد نصب غیرعادی کم اما رتبه بالا
✔ درخواست دسترسیهای بیش از حد مثل "Read and change all data on websites"
IoCهایی که توسط محققان منتشر شد (بهصورت عمومی):
✔ دامنههای C2 مخفیشده در CDNها
✔ فایل manifest جعلی
✔ اسکریپتهای obfuscated مبتنی بر JS
🛡️ چطور از چنین حملاتی جلوگیری کنیم؟ (ویژه کاربران و سازمانها)
🔐 برای کاربران عادی
✔ فقط از Chrome Web Store رسمی افزونه نصب کنید.
✔ افزونههایی را که به آنها نیاز ندارید حذف کنید.
✔ به دسترسیهای عجیب مثل "Manage your downloads" یا "Read all website data" شک کنید.
✔ مرورگر را همیشه بهروز نگه دارید.
✔ از ورود دو مرحلهای (۲FA) برای سرویسهای مهم استفاده کنید.
🏢 برای سازمانها و تیمهای امنیتی
✔ فهرست سفید (Extension Whitelist) روی Chrome/Edge تعریف کنید.
✔ لاگهای مرورگر را به SIEM (مثل Splunk) ارسال کنید.
✔ رفتار کوکیها و نشستها را مانیتور کنید.
✔ اجرای سیاستهای Browser Isolation در شبکههای حساس
✔ غیرفعال کردن نصب افزونه توسط کارمندان غیرمجاز
🔎 دیدگاه امنیتی: چرا این حمله با گستردگی ۴.۳ میلیون رقم کمسابقه است؟
در واقع مهاجمان از افزونهها بهعنوان پلتفرم نفوذ استفاده کردند، نه بدافزارهای سنتی. همچنین مرورگرها مانند سیستمعامل دوم کاربران هستند و کاربران بیش از ۹۰٪ کارهای روزمره را از طریق مرورگر انجام میدهند.
مورد دیگر اینکه افزونههای تقلبی میتوانند کاملاً «بیصدا» فعالیت کنند.
تحقیقات قبلی TrendMicro و Cisco Talos نشان داده که افزونههای جعلی، آینده حملات تزریق داده در مرورگر هستند.
🎯 جمعبندی
حمله اخیر که موجب قربانی شدن ۴.۳ میلیون کاربر Chrome و Edge شد، یک زنگ هشدار جدی است. مهاجمان هر روز هوشمندتر میشوند و حالا با استفاده از افزونههای ظاهراً عادی میتوانند کنترل کامل مرورگرها را به دست بگیرند.
برای کاربران و سازمانها، تنها راه کاهش خطر، کنترل سختگیرانه افزونهها، نظارت بر ترافیک مرورگر و افزایش سطح آگاهی امنیتی است. اگر از Chrome یا Edge استفاده میکنید، همین امروز لیست افزونههایتان را بررسی کنید.
