• صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران

تک ناک » فناوری » نفوذ هکرها به ۳۵ افزونه مرورگر گوگل کروم

نفوذ هکرها به ۳۵ افزونه مرورگر گوگل کروم

سید محمد برازنده نوشته شده توسط سید محمد برازنده
چهارشنبه 12 دی 1403 - 13:00
در امنیت سایبری, پیشنهاد سردبیر, فناوری
نفوذ هکرها به ۳۵ افزونه مرورگر گوگل کروم
کپی لینکاشتراک گذاری در تلگراماشتراک گذاری در توییتر

فهرست مطالب

  • 1. شروع کمپین فیشینگ: چگونه هکرها توسعه‌دهندگان را فریب دادند؟
  • 2. حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ
  • 3. دور زدن احراز هویت چندمرحله‌ای (MFA)
  • 4. تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم
  • 5. هدف قرار دادن حساب‌های تجاری Facebook
  • 6. گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم
  • 7. هشدار به توسعه‌دهندگان و کاربران مرورگر گوگل کروم

گزارش‌های جدید از یک حمله فیشینگ گسترده، نشان می‌دهد که هکرها توانسته‌اند به ۳۵ افزونه مرورگر گوگل کروم نفوذ کنند.

به گزارش تک‌ناک، این حمله که از یک کمپین فیشینگ پیشرفته آغاز شد، با هدف آلوده کردن افزونه‌های پرکاربرد برای سرقت اطلاعات انجام شده است.

براساس آمارها، افزونه‌های آلوده توسط بیش از ۲.۶ میلیون کاربر نصب و استفاده شده‌اند. یکی از شرکت‌های تحت تأثیر این حمله، Cyberhaven، از شرکت‌های برجسته در حوزه امنیت سایبری بوده است.

01
از 07
شروع کمپین فیشینگ: چگونه هکرها توسعه‌دهندگان را فریب دادند؟

این حمله سایبری از دسامبر ۲۰۲۴ به‌ صورت علنی آغاز شد، اما شواهد نشان می‌دهد که مهاجمان از ماه مارس ۲۰۲۴ زیرساخت‌های حمله خود را آماده کرده بودند.

هکرها با ارسال ایمیل‌های فیشینگ، که شبیه به اعلان‌های رسمی گوگل طراحی شده بودند، توسعه‌دهندگان افزونه‌ها را فریب دادند.

در این ایمیل‌ها ادعا می‌شد که افزونه موردنظر به دلیل نقض قوانین فروشگاه وب کروم (Chrome Web Store) در خطر حذف قرار دارد. این نقض شامل توصیفات گمراه‌کننده، نامناسب یا غیرضروری عنوان شده بود.

متن ایمیل‌ها با جزئیاتی حرفه‌ای تنظیم شده بود تا کاربران را متقاعد کند روی لینکی که در ظاهر به صفحه رسمی گوگل متصل است، کلیک کنند.

اما لینک موجود در این ایمیل‌ها به جای فروشگاه وب کروم، کاربران را به یک وب‌سایت فیشینگ هدایت می‌کرد. این وب‌سایت برای به دست آوردن دسترسی کامل به حساب کاربری توسعه‌دهندگان طراحی شده بود.

هکرها به ۳۵ افزونه مرورگر گوگل کروم نفوذ کردند

02
از 07
حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ

مهاجمان با استفاده از یک اپلیکیشن مخرب OAuth به نام “Privacy Policy Extension”، قربانیان را وادار کردند که دسترسی کامل به مدیریت افزونه‌های مرورگر گوگل کروم خود را به این اپلیکیشن بدهند.

این اپلیکیشن بخشی از جریان استاندارد مجوز گوگل بود، که به‌ طور معمول برای اعطای دسترسی‌های امن به اپلیکیشن‌های شخص ثالث استفاده می‌شود.

صفحه مجوز، کاربران را به‌ اشتباه وادار می‌کرد که اجازه مشاهده، ویرایش، به‌روزرسانی و انتشار افزونه‌های موجود در حساب خود را صادر کنند. این مجوزها برای مهاجمان کافی بود تا بتوانند کدهای مخرب را به افزونه‌های قربانیان اضافه نمایند.

حمله از طریق زنجیره مخرب OAuth: راهکاری زیرکانه برای نفوذ

03
از 07
دور زدن احراز هویت چندمرحله‌ای (MFA)

یکی از جنبه‌های مهم این حمله، توانایی مهاجمان در دور زدن احراز هویت چندمرحله‌ای بود. حتی کارمند Cyberhaven، که از Google Advanced Protection و MFA استفاده می‌کرد، نتوانست از وقوع این حمله جلوگیری کند.

مهاجمان بدون نیاز به تأیید هویت چندمرحله‌ای توانستند از طریق جریان OAuth، مجوزهای لازم را دریافت کنند. این روش نشان‌دهنده نقطه ضعف احتمالی در پروتکل‌های امنیتی مبتنی بر OAuth است.

دور زدن احراز هویت چندمرحله‌ای (MFA)

04
از 07
تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم

پس از دسترسی به حساب‌های کاربری توسعه‌دهندگان، مهاجمان دو فایل مخرب به نام‌های worker.js و content.js را به افزونه‌ها اضافه کردند. این فایل‌ها شامل کدهایی بودند که به‌ طور خاص برای سرقت اطلاعات کاربران Facebook طراحی شده بودند.

افزونه‌های آلوده مرورگر گوگل کروم به‌عنوان نسخه جدید در فروشگاه وب کروم منتشر شدند و کاربران ناآگاه آنها را به‌روزرسانی کردند. این به‌روزرسانی‌ها به مهاجمان اجازه داد تا اطلاعات حساس کاربران را به‌ صورت مستقیم به سرورهای خود ارسال کنند.

تزریق کدهای مخرب به افزونه‌های مرورگر گوگل کروم

05
از 07
هدف قرار دادن حساب‌های تجاری Facebook

تحلیل کدهای مخرب نشان می‌دهد که مهاجمان تمرکز ویژه‌ای روی سرقت اطلاعات حساب‌های تجاری Facebook داشتند. اطلاعاتی نظیر شناسه کاربری، توکن‌های دسترسی، اطلاعات حساب‌های تبلیغاتی و تعاملات کاربران در Facebook جمع‌آوری می‌شد.

این کدها حتی قادر بودند که کلیک‌های کاربران روی تصاویر QR مربوط به تأیید هویت دو مرحله‌ای یا CAPTCHA را شناسایی کنند. هدف مهاجمان، دور زدن مکانیزم‌های امنیتی Facebook و در نهایت به دست گرفتن کنترل کامل حساب‌های کاربران بود.

اطلاعات سرقت‌شده شامل کوکی‌های Facebook، رشته عامل کاربر، شناسه کاربری و داده‌های تعاملات کاربر بود، که به سرورهای فرماندهی مهاجمان ارسال می‌شد.

این اطلاعات برای انجام پرداخت‌های مستقیم از حساب قربانی، اجرای کمپین‌های تبلیغاتی جعلی یا فروش دسترسی به دیگران مورد استفاده قرار می‌گرفت.

گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم

06
از 07
گستردگی حمله و دامنه‌های مشکوک در مرورگر گوگل کروم

براساس گزارش BleepingComputer، دامنه‌هایی نظیر supportchromestore.com، forextensions.com و chromeforextension.com برای ارسال ایمیل‌های فیشینگ استفاده شده‌اند.

بررسی‌های بیشتر نشان داد که این دامنه‌ها از نوامبر و دسامبر ۲۰۲۴ ثبت شده بودند، اما حملات مشابه از مارس ۲۰۲۴ آزمایش شده‌اند.

Extension Total گزارش داده است که تاکنون ۳۵ افزونه مرورگر گوگل کروم تحت تأثیر قرار گرفته‌اند، اما شواهدی وجود دارد که تعداد بیشتری از افزونه‌ها نیز هدف این حملات بوده‌اند.

07
از 07
هشدار به توسعه‌دهندگان و کاربران مرورگر گوگل کروم

این حمله گسترده یک هشدار جدی برای توسعه‌دهندگان افزونه‌ها و کاربران مرورگرهای وب است. توسعه‌دهندگان باید ایمیل‌های مشکوک را با دقت بررسی و از کلیک روی لینک‌های ناشناس خودداری کنند. همچنین بررسی دقیق مجوزهای صادرشده به اپلیکیشن‌های شخص ثالث ضروری است.

کاربران نیز باید به‌ طور مرتب افزونه‌های نصب‌شده روی مرورگر خود را بررسی و تنها از منابع معتبر به‌روزرسانی‌ها را دریافت کنند. این حادثه نشان می‌دهد که حتی پیشرفته‌ترین پروتکل‌های امنیتی نیز ممکن است در برابر حملات پیچیده آسیب‌پذیر باشند.

برچسب‌ها: p6
سید محمد برازنده

سید محمد برازنده

کارشناسی مترجمی زبان فرانسه. از سال 87 تاکنون در حوزه های مختلف سابقه ترجمه دارم. بیش از یک سال هست که مترجم حوزه فناوری تو سایت تک ناک هستم.

مطالب مرتبط

آنتروپیک ابزار هوش مصنوعی برای کاهش حجم کار معلمان معرفی کرد
اخبار هوش مصنوعی

آنتروپیک ابزار هوش مصنوعی برای کاهش حجم کار معلمان معرفی کرد

نوشته شده توسط نرگس چالوک
25 تیر 1405
تبلیغ جدید آنتروپیک جنجال به پا کرد
اخبار هوش مصنوعی

تبلیغ جدید آنتروپیک جنجال به پا کرد

نوشته شده توسط ساینا چمنی
25 تیر 1405
اخبار هوش مصنوعی

پست‌های شبکه‌های اجتماعی رازهای شخصیت شما را فاش می‌کنند

نوشته شده توسط نرگس چالوک
25 تیر 1405
ایلان ماسک از انتشار کامل کدهای X به صورت متن‌باز خبر داد
شبکه های اجتماعی

ایلان ماسک از انتشار کامل کدهای X به صورت متن‌باز خبر داد

نوشته شده توسط ساینا چمنی
25 تیر 1405
جنگ سرد هوش مصنوعی شروع شد
اخبار هوش مصنوعی

جنگ سرد هوش مصنوعی شروع شد

نوشته شده توسط مانی
25 تیر 1405
خبر بعدی
با این فناوری احساسات چهره ربات‌ها واقعی‌تر می‌شود

با این فناوری بیان احساسات در ربات‌ها واقعی‌تر می‌شود

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آذرآنلاین آذرآنلاین آذرآنلاین

پیشنهادی

وان‌پلاس از گوشی اقتصادی N6 با شارژدهی 3 روزه رونمایی کرد

وان‌پلاس از گوشی اقتصادی N6 با شارژدهی 3 روزه رونمایی کرد + تصویر

10 تیر 1405 - به‌روزشده در 11 تیر 1405
لنوو از گوشی دانش‌آموزی مجهز به هوش مصنوعی رونمایی کرد

لنوو از گوشی دانش‌آموزی مجهز به هوش مصنوعی رونمایی کرد

10 تیر 1405 - به‌روزشده در 11 تیر 1405

داغ‌ترین‌های روز

نقد و بررسی Redmi Note 15 5G

نقد و بررسی Redmi Note 15 5G؛ گوشی اقتصادی از شیائومی با قیمت میان‌رده

26 بهمن 1404
لوگوی گرافیکی ویندوز ۱۱ که در زیر آن آیکون سفید یک حشره (نشان‌دهنده باگ نرم‌افزاری) قرار دارد.

بحران مدیریت حافظه در ویندوز ۱۱؛ شناسایی سرویس‌های مخفی که «رَم» سیستم را می‌بلعند

27 آذر 1404
با تعلیق دامنه t.me تلگرام میلیون‌ها لینک از دسترس خارج شدند

تعلیق دامنه t.me تلگرام؛ میلیون‌ها لینک از دسترس خارج شدند

23 تیر 1405
شرکت HP از لپ‌تاپ های گران قیمت سری ZBook Ultra 14 رونمایی کرد

شرکت اچ پی از لپ‌تاپ های گران قیمت سری ZBook Ultra 14 رونمایی کرد

10 فروردین 1404
تصویر تاریک و خارج از فوکوس (Bokeh) از صفحه نمایش که عنوان نارنجی رنگ “Office” و متن کم‌رنگ “Microsoft Office Home and Stud” را در بخش بالایی آیکون‌های برنامه‌های آفیس نشان می‌دهد.

این ۱۵ محصول مایکروسافت سال ۲۰۲۶ بازنشسته می‌شوند

22 تیر 1405
Technoc

دنیا با سرعتی خیره کننده به سمت تحقق رویاهایی می رود که تا دیروز دست نیافتنی و محال بود و بشر با گذر از دریایی از موانع یک به یک در حال تحقق آنها است.

ما در” تک ناک” تلاش می کنیم سهمی از انعکاس تحولات بی شمار فناوری و اخبار تکنولوژی داشته باشیم و در این کهکشان بی انتهای یافته های علمی و دانش محور محتوایی قابل اتکاء و اخباری موثق را از گوشه و کنار دنیا در اختیار علاقمندان و مخاطبان خود قرار دهیم.

ما را در شبکه های اجتماعی دنبال کنید

تازه‌ها

پاوربانک جدید بلکین با چراغ هوشمند معرفی شد

پاوربانک جدید بلکین با چراغ هوشمند معرفی شد + تصویر

25 تیر 1405
آنتروپیک ابزار هوش مصنوعی برای کاهش حجم کار معلمان معرفی کرد

آنتروپیک ابزار هوش مصنوعی برای کاهش حجم کار معلمان معرفی کرد

25 تیر 1405
تبلیغ جدید آنتروپیک جنجال به پا کرد

تبلیغ جدید آنتروپیک جنجال به پا کرد

25 تیر 1405

پست‌های شبکه‌های اجتماعی رازهای شخصیت شما را فاش می‌کنند

25 تیر 1405

دسترسی سریع

  • فناوری
  • کامپیوتر و موبایل
  • نقد و بررسی
  • آموزش
  • ارز دیجیتال
  • علمی
  • کسب و کار
  • وسائل نقلیه
  • بازی و سرگرمی
  • چند رسانه ای
  • صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما

© Copyright 2025 Technoc.ir

No Result
مشاهده تمامی نتایج
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه

© Copyright 2025 Technoc.ir