⭐ נקודות עיקריות
- חוקרי אבטחה איתרו 108 תוספים זדוניים לכרום עם כ-20,000 התקנות.
- התוספים מתחזים למשחקים, כלי תרגום ותוספי רשתות חברתיות.
- הקמפיין נועד לגנוב פרטי חשבון גוגל ולחטוף הפעלות בטלגרם.
- מומלץ להסיר תוספים חשודים ולנתק הפעלות פעילות בטלגרם מהמכשיר הנייד.
חברת אבטחת המידע Socket חושפת קמפיין זדוני רחב היקף המבוסס על 108 תוספים לדפדפן הכרום (Chrome) של גוגל (Google).
התוספים, שצברו יחד כ-20,000 התקנות בחנות התוספים הרשמית, מתקשרים לשרת שליטה ובקרה (C2) יחיד במטרה לאסוף נתוני משתמשים, לגנוב פרטי הזדהות ולהזריק קוד זדוני בדפים שבהם מבקרים המשתמשים.
התוספים מתחזים לכלים לגיטימיים, בהם ממשקי צד לטלגרם, משחקים, כלי תרגום ותוספי עזר ליוטיוב וטיקטוק.
על אף החזות התמימה והפונקציונליות השגרתית לכאורה, הקוד הפועל ברקע מאפשר לתוקפים לשלוט בדפדפן ולדלות מידע רגיש ללא ידיעת המשתמש, פעולה החושפת משתמשים לסיכוני פרטיות ואבטחה.
אופן הפעולה והיקף הפגיעה
על פי ניתוח החוקרים, הקמפיין מופעל על ידי גורם יחיד תחת חמש זהויות מפתחים שונות בחנות התוספים של כרום.
הפעילות הזדונית כוללת מספר דפוסי פעולה, כאשר 108 התוספים (רשימה מלאה ב-Socket) נחלקים לקטגוריות האיום הבאות:
- 54 תוספים גונבים את זהות חשבון הגוגל באמצעות מנגנון OAuth2.
- 45 תוספים מכילים דלת אחורית (Backdoor) הפותחת קישורים באופן אוטומטי עם הפעלת הדפדפן.
- 2 תוספים מסירים כותרי אבטחה מיוטיוב ומזריקים פרסומות.
- 2 תוספים מזריקים קוד לדפי אינטרנט (Content scripts) בכל אתר שבו מבקר המשתמש.
- תוסף אחד מחלץ באופן פעיל הפעלות של גרסת הרשת של טלגרם מדי 15 שניות.
- תוסף אחד כולל תשתית מוכנה לגניבת הפעלות טלגרם (שטרם הופעלה).
- תוסף אחד מסיר כותרי אבטחה מטיקטוק ומזריק פרסומות.
- תוסף אחד מנתב מחדש את כל בקשות התרגום דרך שרת התוקף.
חטיפת חשבונות טלגרם
אחד האיומים החמורים ביותר בקמפיין מגיע מתוסף בשם Telegram Multi-account, אשר מיועד לחטוף הפעלות פעילות בגרסת הרשת של טלגרם.
התוסף דוגם את נתוני ההתחברות של המשתמש בכל 15 שניות ומעביר אותם לשרתי התוקף.
לדברי החוקרים, מנגנון זה מאפשר לתוקפים להחליף את נתוני ההפעלה (Session) של המשתמש ולטעון את ממשק הטלגרם מחדש, מה שמעניק להם גישה להודעות, לאנשי הקשר ולחשבונות מקושרים מבלי להזדקק לסיסמה או לקוד אימות דו-שלבי.
תוסף נוסף בסדרה, Web Client for Telegram – Teleside, מסיר את הגדרות האבטחה של טלגרם ומזריק קוד במטרה לבצע פעולות דומות.
מה המשמעות למשתמשים
בשלב זה לא פורסם זיהוי ודאי של הגורם העומד מאחורי הקמפיין, אך החוקרים ציינו כי מצאו הערות קוד בשפה הרוסית במספר תוספים.
המידע שנאסף מועבר למערכת מרכזית שעל פי החשד מופעלת במודל של “נוזקה כשירות” (MaaS), בו מידע רגיש והפעלות גנובות זמינים לגורמים הרוכשים גישה למערכת.
לפי המלצות חברת Socket, על משתמשים לבדוק את רשימת התוספים המותקנים בדפדפן ולהסיר באופן מיידי כל תוסף חשוד או כזה שאינו בשימוש.
כמו כן, עבור מי שהשתמש בגרסת הרשת של טלגרם, ההמלצה היא לנתק את כל ההפעלות הפעילות דרך אפליקציית טלגרם במכשיר הנייד.
בנוסף, מומלץ לעבור על הרשאות הגישה שניתנו לאפליקציות צד-שלישי תחת הגדרות חשבון הגוגל ולבטל הרשאות שאינן מוכרות.
