الرئيسة حماية اضافة خطيرة تسرق حسابات المستخدمين في سوق Chrome

اضافة خطيرة تسرق حسابات المستخدمين في سوق Chrome

اضافة خطيرة لسرقة حسابات المستخدمين في سوق Chrome

تسببت إضافة موجودة في في متجر Chrome والتي لا تزال متوفرة لحد الان في سوق Chrome الإلكتروني في سرقة معلومات بطاقات الدفع والحسابات البنكية وكللمات المرور الخاصة بالمواقع التي يزورها المستخدم.

تم العثور على الامتداد في فبراير 2018 ، ولكن الاضافة extenstion مخفية في عمليات البحث العادية ولن يكون متاحًا لك تثبيتها إلا من خلال الرابط الذي يستخدمه المهاجمون للانتشار.

تتنكر هذه الاضافة تحت اسم مشهور وهو Reader Flash , وهي تعتمد على طريقة الحقن ، بحيث يستخدم المهاجمون لإصابة مواقع الويب أكواد جافا سكريبت خبيثة javascript والتي تكشف المتصفح الذي يستخدمه الضحايا وعلى أساسه تشير إلى تثبيت الفلاش وإعادة توجيه متصفحك لتنزيل الإضافة.

صورة الاضافة في سوق Chrome

تحليل الاضافة Reader Flash وفهم الية عملها

وفقًا لتحليل Elevenpath مكتشفها، يتضمن الامتداد وظيفة او دالة  Function تعمل على جميع المواقع التي يزورها المستخدم ويستغل طلبات المتصفح API webRequest.onBeforeRequest ثم اعتراض إرسال نموذج المستخدم  FormData  (الفورم التي تحتوي على اسم المستخدم وكلمة المرور).

  • تقوم الاكواد المحقونة بالتعرف ثم اعتراض أرقام بطاقات الائتمان بشكل منظم من خلال وجود تعبيرات برمجية منتظمة تسمى Regex اختصار ل (Regular Expression) في الكود الخاص بـ 
  1. بطاقة Visa والمسمى بــ  vvregex
  2. بطاقة ماستر كارد MasterCard المسمى بــ mcregex
  3. بطاقة  American Express المسمى بــ amregex
  4. بطاقة  Diner's Club  المسمى بــ dcregex

لاحظ  سورس الاضافة Reader Flash  كما في الصورة داخل ملف Background.js

في حالة أي من البيانات الواردة في الطلب عبارة عن رقم بطاقة ، سيتم إرسال هذه الأرقام (المعلومات السرية الخاصة بالمستخدم)، بعد ان يتم تشفيرها ثم ارسالها على شكل بيانات منظمة JSON إلى المهاجم من خلال طلب AJAX. باستعمال الدالة  "sendFormData" والتي تحتوي على عنوان URL النهائي المشفر باستخدام base64

صورة توضح الكود أو الدالة المسؤولة عن انتشار الاضافة في بقية المتصفحات


وهذه البيانات المرسلة نحو المهاجم او الهكر بصورة مشفرة عن الضحية


الشيء المطمئن أنه:

 تم العثور على extention المسمى Flash Reader مثبتًا أكثر من 400 مرة ، وستكون الإضافة متاحة فقط من خلال الرابط وليس من خلال البحث عن الرسائل الشائعة. "لم ينشر هذا التحليل على نطاق واسع حتى الآن"

تم الإبلاغ عن الإضافة بواسطة مكتشفها Elevenpaths إلى Google لإزالة الإضافة من متجر Chrome.

مواضيع ذات صلة :

شارك المقال