• صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران
تک ناک فناوری امنیت سایبری

نفوذ هکرها به ۳۵ افزونه مرورگر گوگل کروم

سید محمد برازنده نوشته شده توسط سید محمد برازنده
چهارشنبه 12 دی 1403 - 13:00
در امنیت سایبری, پیشنهاد سردبیر, فناوری
نفوذ هکرها به ۳۵ افزونه مرورگر گوگل کروم
کپی لینکاشتراک گذاری در تلگراماشتراک گذاری در توییتر

گزارش‌های جدید از یک حمله فیشینگ گسترده، نشان می‌دهد که هکرها توانسته‌اند به ۳۵ افزونه مرورگر گوگل کروم نفوذ کنند.

به گزارش تک‌ناک، این حمله که از یک کمپین فیشینگ پیشرفته آغاز شد، با هدف آلوده کردن افزونه‌های پرکاربرد برای سرقت اطلاعات انجام شده است.

براساس آمارها، افزونه‌های آلوده توسط بیش از ۲.۶ میلیون کاربر نصب و استفاده شده‌اند. یکی از شرکت‌های تحت تأثیر این حمله، Cyberhaven، از شرکت‌های برجسته در حوزه امنیت سایبری بوده است.

فهرست مطالب

  • شروع کمپین فیشینگ: چگونه هکرها توسعه‌دهندگان را فریب دادند؟
  • حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ
  • دور زدن احراز هویت چندمرحله‌ای (MFA)
  • تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم
  • هدف قرار دادن حساب‌های تجاری Facebook
  • گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم
  • هشدار به توسعه‌دهندگان و کاربران مرورگر گوگل کروم

شروع کمپین فیشینگ: چگونه هکرها توسعه‌دهندگان را فریب دادند؟

این حمله سایبری از دسامبر ۲۰۲۴ به‌ صورت علنی آغاز شد، اما شواهد نشان می‌دهد که مهاجمان از ماه مارس ۲۰۲۴ زیرساخت‌های حمله خود را آماده کرده بودند.

هکرها با ارسال ایمیل‌های فیشینگ، که شبیه به اعلان‌های رسمی گوگل طراحی شده بودند، توسعه‌دهندگان افزونه‌ها را فریب دادند.

در این ایمیل‌ها ادعا می‌شد که افزونه موردنظر به دلیل نقض قوانین فروشگاه وب کروم (Chrome Web Store) در خطر حذف قرار دارد. این نقض شامل توصیفات گمراه‌کننده، نامناسب یا غیرضروری عنوان شده بود.

متن ایمیل‌ها با جزئیاتی حرفه‌ای تنظیم شده بود تا کاربران را متقاعد کند روی لینکی که در ظاهر به صفحه رسمی گوگل متصل است، کلیک کنند.

اما لینک موجود در این ایمیل‌ها به جای فروشگاه وب کروم، کاربران را به یک وب‌سایت فیشینگ هدایت می‌کرد. این وب‌سایت برای به دست آوردن دسترسی کامل به حساب کاربری توسعه‌دهندگان طراحی شده بود.

هکرها به ۳۵ افزونه مرورگر گوگل کروم نفوذ کردند

حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ

مهاجمان با استفاده از یک اپلیکیشن مخرب OAuth به نام “Privacy Policy Extension”، قربانیان را وادار کردند که دسترسی کامل به مدیریت افزونه‌های مرورگر گوگل کروم خود را به این اپلیکیشن بدهند.

این اپلیکیشن بخشی از جریان استاندارد مجوز گوگل بود، که به‌ طور معمول برای اعطای دسترسی‌های امن به اپلیکیشن‌های شخص ثالث استفاده می‌شود.

صفحه مجوز، کاربران را به‌ اشتباه وادار می‌کرد که اجازه مشاهده، ویرایش، به‌روزرسانی و انتشار افزونه‌های موجود در حساب خود را صادر کنند. این مجوزها برای مهاجمان کافی بود تا بتوانند کدهای مخرب را به افزونه‌های قربانیان اضافه نمایند.

حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ

دور زدن احراز هویت چندمرحله‌ای (MFA)

یکی از جنبه‌های مهم این حمله، توانایی مهاجمان در دور زدن احراز هویت چندمرحله‌ای بود. حتی کارمند Cyberhaven، که از Google Advanced Protection و MFA استفاده می‌کرد، نتوانست از وقوع این حمله جلوگیری کند.

مهاجمان بدون نیاز به تأیید هویت چندمرحله‌ای توانستند از طریق جریان OAuth، مجوزهای لازم را دریافت کنند. این روش نشان‌دهنده نقطه ضعف احتمالی در پروتکل‌های امنیتی مبتنی بر OAuth است.

دور زدن احراز هویت چندمرحله‌ای (MFA)

تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم

پس از دسترسی به حساب‌های کاربری توسعه‌دهندگان، مهاجمان دو فایل مخرب به نام‌های worker.js و content.js را به افزونه‌ها اضافه کردند. این فایل‌ها شامل کدهایی بودند که به‌ طور خاص برای سرقت اطلاعات کاربران Facebook طراحی شده بودند.

افزونه‌های آلوده مرورگر گوگل کروم به‌عنوان نسخه جدید در فروشگاه وب کروم منتشر شدند و کاربران ناآگاه آنها را به‌روزرسانی کردند. این به‌روزرسانی‌ها به مهاجمان اجازه داد تا اطلاعات حساس کاربران را به‌ صورت مستقیم به سرورهای خود ارسال کنند.

تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم

هدف قرار دادن حساب‌های تجاری Facebook

تحلیل کدهای مخرب نشان می‌دهد که مهاجمان تمرکز ویژه‌ای روی سرقت اطلاعات حساب‌های تجاری Facebook داشتند. اطلاعاتی نظیر شناسه کاربری، توکن‌های دسترسی، اطلاعات حساب‌های تبلیغاتی و تعاملات کاربران در Facebook جمع‌آوری می‌شد.

این کدها حتی قادر بودند که کلیک‌های کاربران روی تصاویر QR مربوط به تأیید هویت دو مرحله‌ای یا CAPTCHA را شناسایی کنند. هدف مهاجمان، دور زدن مکانیزم‌های امنیتی Facebook و در نهایت به دست گرفتن کنترل کامل حساب‌های کاربران بود.

اطلاعات سرقت‌شده شامل کوکی‌های Facebook، رشته عامل کاربر، شناسه کاربری و داده‌های تعاملات کاربر بود، که به سرورهای فرماندهی مهاجمان ارسال می‌شد.

این اطلاعات برای انجام پرداخت‌های مستقیم از حساب قربانی، اجرای کمپین‌های تبلیغاتی جعلی یا فروش دسترسی به دیگران مورد استفاده قرار می‌گرفت.

گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم

گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم

براساس گزارش BleepingComputer، دامنه‌هایی نظیر supportchromestore.com، forextensions.com و chromeforextension.com برای ارسال ایمیل‌های فیشینگ استفاده شده‌اند.

بررسی‌های بیشتر نشان داد که این دامنه‌ها از نوامبر و دسامبر ۲۰۲۴ ثبت شده بودند، اما حملات مشابه از مارس ۲۰۲۴ آزمایش شده‌اند.

Extension Total گزارش داده است که تاکنون ۳۵ افزونه مرورگر گوگل کروم تحت تأثیر قرار گرفته‌اند، اما شواهدی وجود دارد که تعداد بیشتری از افزونه‌ها نیز هدف این حملات بوده‌اند.

هشدار به توسعه‌دهندگان و کاربران مرورگر گوگل کروم

این حمله گسترده یک هشدار جدی برای توسعه‌دهندگان افزونه‌ها و کاربران مرورگرهای وب است. توسعه‌دهندگان باید ایمیل‌های مشکوک را با دقت بررسی و از کلیک روی لینک‌های ناشناس خودداری کنند. همچنین بررسی دقیق مجوزهای صادرشده به اپلیکیشن‌های شخص ثالث ضروری است.

کاربران نیز باید به‌ طور مرتب افزونه‌های نصب‌شده روی مرورگر خود را بررسی و تنها از منابع معتبر به‌روزرسانی‌ها را دریافت کنند. این حادثه نشان می‌دهد که حتی پیشرفته‌ترین پروتکل‌های امنیتی نیز ممکن است در برابر حملات پیچیده آسیب‌پذیر باشند.

برچسب‌ها: p6
سید محمد برازنده

سید محمد برازنده

مطالب مرتبط

مهندس خلاق ویپ یک‌بارمصرف را به وب‌سرور کاربردی تبدیل کرد
فناوری

مهندس خلاق ویپ یک‌بارمصرف را به وب‌سرور کاربردی تبدیل کرد

نوشته شده توسط امیرحسین یونس
24 شهریور 1404
آمریکا و چین به توافق اولیه بر سر تیک‌تاک دست یافتند
شبکه های اجتماعی

آمریکا و چین به توافق اولیه بر سر تیک‌تاک دست یافتند

نوشته شده توسط امیرحسین یونس
24 شهریور 1404
بازی موبایلی تام و جری را استودیوی سعودی می‌سازد
بازی موبایل

یک استودیوی سعودی بازی موبایلی تام و جری را می‌سازد

نوشته شده توسط امیرحسین یونس
24 شهریور 1404
رقابت گوشی‌های اپل و سامسونگ
پیشنهاد سردبیر

آیفون 16 و گلکسی A16 پرفروش‌ترین گوشی‌های دنیا شدند

نوشته شده توسط امیرحسین یونس
24 شهریور 1404
Charmera؛ دوربین نوستالژیک و ۱.۶ مگاپیکسلی کداک که در جعبه‌های شانسی فروخته می‌شود
دوربین دیجیتال

این دوربین کوچک کداک در قالب جعبه‌های شانسی عرضه می‌شود

نوشته شده توسط امیرحسین یونس
24 شهریور 1404
خبر بعدی
با این فناوری احساسات چهره ربات‌ها واقعی‌تر می‌شود

با این فناوری بیان احساسات در ربات‌ها واقعی‌تر می‌شود

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آذرآنلاین آذرآنلاین آذرآنلاین

پیشنهادی

بهترین ربات تریدر ارز دیجیتال

معرفی بهترین ربات تریدر ارز دیجیتال ( ۵ ربات برتر سال ۲۰۲۵)

26 مرداد 1404 - به‌روزشده در 27 مرداد 1404
پهپاد HoverAir Aqua با قابلیت پرواز و فرود روی آب معرفی شد

پهپاد HoverAir Aqua با قابلیت پرواز و فرود روی آب معرفی شد

31 مرداد 1404

داغ‌ترین‌های روز

سیم کارت eSIM

راهنمای کامل سیم کارت eSIM؛ نسل آینده سیم‌کارت‌های بدون شیار فیزیکی

23 شهریور 1404
نخستین نمایش هم‌زمان دو فروند بمب‌افکن رادارگریز B-21 Raider

نخستین نمایش هم‌زمان دو فروند بمب‌افکن رادارگریز B-21 Raider انجام شد

22 شهریور 1404
مایکروسافت ISO رسمی ویندوز 11 نسخه 25H2 را منتشر کرد

مایکروسافت ISO رسمی ویندوز 11 نسخه 25H2 را منتشر کرد

20 شهریور 1404 - به‌روزشده در 21 شهریور 1404
بهترین لپ‌تاپ‌های ایسوس از ۲۰ تا ۳۰ میلیون تومان (راهنمای خرید ۱۴۰۴)

بهترین لپ‌تاپ‌های ایسوس از ۲۰ تا ۳۰ میلیون تومان (راهنمای خرید ۱۴۰۴)

23 شهریور 1404
بررسی سامسونگ A17

بررسی گوشی سامسونگ A17 ؛ میان‌رده ای جدید با ارزش خرید بالا

23 شهریور 1404
تک ناک - اخبار تکنولوژی روز جهان و ایران

دنیا با سرعتی خیره کننده به سمت تحقق رویاهایی می رود که تا دیروز دست نیافتنی و محال بود و بشر با گذر از دریایی از موانع یک به یک در حال تحقق آنها است.

ما در” تک ناک” تلاش می کنیم سهمی از انعکاس تحولات بی شمار فناوری و اخبار تکنولوژی داشته باشیم و در این کهکشان بی انتهای یافته های علمی و دانش محور محتوایی قابل اتکاء و اخباری موثق را از گوشه و کنار دنیا در اختیار علاقمندان و مخاطبان خود قرار دهیم.

ما را در شبکه های اجتماعی دنبال کنید

تازه‌ها

آپدیت بزرگ visionOS 26 با رابط کاربری Liquid Glass و ویجت‌های فضایی برای ویژن پرو منتشر شد

آپدیت بزرگ visionOS 26 با رابط کاربری Liquid Glass برای ویژن پرو منتشر شد

24 شهریور 1404
اتهام انحصارگرایی چین به انویدیا

چین انویدیا را به انحصارگرایی متهم کرد؛ خطر جریمه ۱۰ درصدی از درآمد

24 شهریور 1404
انتشار رسمی watchOS 26؛ طراحی جدید، پایش فشار خون و قابلیت‌های هوشمند

انتشار رسمی watchOS 26؛ طراحی جدید، پایش فشار خون و قابلیت‌های هوشمند

24 شهریور 1404
با این ماوس انگشتی مکان‌نما را دقیق کنترل کنید

با این ماوس انگشتی مکان‌نما را دقیق کنترل کنید

24 شهریور 1404

دسترسی سریع

  • فناوری
  • کامپیوتر و موبایل
  • نقد و بررسی
  • آموزش
  • ارز دیجیتال
  • علمی
  • کسب و کار
  • وسائل نقلیه
  • بازی و سرگرمی
  • چند رسانه ای
  • صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما

© Copyright 2025 Technoc.ir

technoc-instagram
No Result
مشاهده تمامی نتایج
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه

© Copyright 2025 Technoc.ir