بدافزار چینی ۸.۸ میلیون کاربر مرورگر‌های محبوب را آلوده کرد

به گزارش پیوست،‌ شرکت امنیتی Koi Security طی گزارشی به تاریخ ۲۹ دسامبر اعلام کرده است که این عملیات با نام DarkSpectre شناخته می‌شود و توسط یک عامل تهدید چینی و با منابع مالی قابل‌توجه هدایت شده و شامل سه کمپین بدافزار اصلی است. این کمپین‌ها با تبدیل افزونه‌های ظاهرا معتبر مرورگر به ابزارهای جاسوسی، زیرساختی برای نظارت گسترده و جاسوسی شرکتی ایجاد کرده‌اند.

بر اساس این گزارش، کمپین ShadyPanda بیش از ۵.۶ میلیون کاربر، کمپین تازه کشف‌شده Zoom Stealer حدود ۲.۲ میلیون کاربر و کمپین GhostPoster نیز بیش از ۱.۰۵ میلیون کاربر را هدف هدف قرار داده و آلوده کرده‌اند. پژوهشگران تاکید دارند که این سه کمپین به‌صورت جداگانه عمل نمی‌کنند و بخشی از یک عملیات منسجم و متمرکز هستند و برای حفظ انسجام خود از زیرساخت‌های فرماندهی و کنترل مشترک استفاده می‌کند.

تحلیل‌ها نشان می‌دهد که دامنه‌هایی مانند infinitynewtab.com و infinitytab.com گرچه به‌عنوان بخشی از قابلیت‌های قانونی افزونه‌ها عمل می‌کنند اما هم‌زمان پل ارتباطی هستند میان افزونه با سرورهای مخرب.

یکی از نکات جالب این کارزار‌ها، صبر چند ساله مهاجمان آن است. به گفته محققان امنیتی، مهاجمان با صبر و برنامه‌ریزی بلندمدت، برخی افزونه‌ها را برای بیش از پنج سال کاملا بی‌خطر نگه داشته و پس از جلب اعتماد و افزایش تعداد کاربران، آن‌ها را از طریق به‌روزرسانی به بدافزار تبدیل کرده‌اند.

یکی از افزونه‌ها که با عنوان «New Tab – Customized Dashboard» شناخته می‌شود از سازوکاری موسوم به «بمب زمانی» استفاده کرده است که بدافزار را سه روز پس از نصب فعال می‌کند. این بدافزار تنها در حدود ۱۰ درصد از بارگذاری صفحات فعال می‌شود تا شناسایی آن در فرآیندهای بررسی امنیتی بسیار دشوار باشد. به گفته شرکت Koi Security، در حال حاضر ۹ افزونه مخرب فعال و دست‌کم ۸۵ افزونه «خاموش» شناسایی شده‌اند که هنوز آغاز به فعالیت نکرده‌اند اما آماده تبدیل به بدافزار از طریق به‌روزرسانی هستند.

جالب اینکه یکی از این کمپین‌ها به نام Zoom Stealer، تمرکز ویژه‌ای بر جاسوسی شرکتی دارد و شامل ۱۸ افزونه‌ای است که خود را به‌عنوان ابزارهای ویدئوکنفرانس معرفی می‌کنند. این افزونه‌ها اطلاعات حساسی از جمله لینک جلسات، اطلاعات ورود، فهرست شرکت‌کنندگان و مشخصات سخنرانان را از ۲۸ پلتفرم ارتباطی از جمله Zoom، Microsoft Teams و Google Meet جمع‌آوری می‌کنند و داده‌ها را در لحظه به زیرساخت‌های ابری قابل دسترسی برای توسعه دهندگان منتقل می‌کنند.

در کمپین GhostPoster نیز از تکنیک استگانوگرافی (steganography) برای پنهان‌سازی کدهای مخرب در فایل‌های تصویری PNG استفاده شده تا بدافزار از دید ابزارهای اسکن امنیتی فعال پنهان باقی بماند. تکنیک استگانوگرافی روشی است که داده‌های پنهانی را در درون پیام‌های معمولی و فایل‌ها یا پیام‌های به ظاهر بی‌خطر جای می‌دهد. در این روش واقعیت پیام مورد نظر نیز در پشت یک ظاهر معمولی پنهان می‌شود.

گوگل و مایکروسافت اعلام کرده‌اند افزونه‌های شناسایی‌شده را از فروشگاه‌های خود حذف کرده‌اند، اما هشدار داده‌اند که این اقدام به‌صورت خودکار باعث حذف افزونه‌ها از مرورگر کاربران نمی‌شود و کاربران باید به‌صورت دستی نسبت به بررسی و پاک‌سازی افزونه‌های نصب‌شده اقدام کنند.