به گزارش حاشیه خبر، اگرچه گزارشهای اولیه بر روی افزونهای با تمرکز بر امنیت Cyberhaven متمرکز شده بودند، اما تحقیقات بعدی نشان داد که همان کد به حداقل ۳۵ افزونه دیگر که به طور کلی توسط حدود ۲٫۶ میلیون نفر استفاده میشود، تزریق شده است.
بر اساس گزارشهای منتشر شده در لینکدین و گروههای گوگل از توسعهدهندگانی که هدف قرار گرفتند، این کمپین جدید از حدود ۵ دسامبر ۲۰۲۴ آغاز شده است. با این حال، زیر مجموعههای فرمان و کنترل که توسط بلیپینگ کامپیوتر (BleepingComputer) شناسایی شدهاند، از مارس ۲۰۲۴ وجود داشتهاند.
این حمله با ارسال یک ایمیل فیشینگ به توسعهدهندگان افزونههای کروم آغاز میشود. ایمیلها به گونهای طراحی شدهاند که به نظر برسد از سوی گوگل فرستاده شدهاند و ادعا میکنند که افزونه در نقض سیاستهای فروشگاه وب کروم قرار دارد و در معرض حذف است.
ایمیل فیشینگ به توسعهدهنده میگوید که توضیحات نرمافزار شامل اطلاعات گمراهکننده است و باید با سیاستهای فروشگاه وب کروم موافقت کند. اگر توسعهدهنده بر روی دکمه «به سیاست بروید» کلیک کند، به یک صفحه ورود قانونی در دامنه گوگل برای یک برنامه OAuth مخرب هدایت میشود.
در این پلتفرم، مهاجم یک برنامه OAuth مخرب به نام “Privacy Policy Extension” را میزبانی کرده است که از قربانی میخواهد اجازه مدیریت افزونههای فروشگاه وب کروم را از طریق حساب خود بدهد.
پس از اینکه مهاجم به حساب توسعهدهنده دسترسی پیدا کرد، افزونه را تغییر داده و دو فایل مخرب به نامهای ‘worker.js’ و ‘content.js’ را اضافه کرده که شامل کدی برای سرقت اطلاعات از حسابهای فیسبوک است.
تحلیل دستگاههای آسیبدیده نشان داد که مهاجمان به دنبال حسابهای فیسبوک کاربران این افزونهها بودند. کد سرقت داده تلاش میکرد تا شناسه فیسبوک کاربر، توکن دسترسی و اطلاعات حساب را جمعآوری کند. همچنین این کد مخرب یک شنونده رویداد کلیک ماوس اضافه کرد تا تعاملات قربانی در فیسبوک را رصد کند.
مهاجمان با هدف دسترسی به حساب فیسبوک قربانیان، سعی داشتند تا از طریق راههای مختلفی مانند پرداخت مستقیم از کارت اعتباری قربانیان یا اجرای کمپینهای فیشینگ در این پلتفرم اجتماعی بهرهبرداری کنند. این حمله نشاندهنده پیچیدگی و خطرات جدی مرتبط با امنیت سایبری است و نیاز به آگاهی بیشتر کاربران درباره تهدیدات آنلاین را برجسته میکند.
