تم العثور على الامتداد في فبراير 2018 ، ولكن الاضافة extenstion مخفية في عمليات البحث العادية ولن يكون متاحًا لك تثبيتها إلا من خلال الرابط الذي يستخدمه المهاجمون للانتشار.
تتنكر هذه الاضافة تحت اسم مشهور وهو Reader Flash , وهي تعتمد على طريقة الحقن ، بحيث يستخدم المهاجمون لإصابة مواقع الويب أكواد جافا سكريبت خبيثة javascript والتي تكشف المتصفح الذي يستخدمه الضحايا وعلى أساسه تشير إلى تثبيت الفلاش وإعادة توجيه متصفحك لتنزيل الإضافة.
صورة الاضافة في متجر جوجل كروم
تحليل الاضافة Reader Flash وفهم الية عملها
وفقًا لتحليل Elevenpath مكتشفها، يتضمن الامتداد وظيفة او دالة Function تعمل على جميع المواقع التي يزورها المستخدم ويستغل طلبات المتصفح API webRequest.onBeforeRequest ثم اعتراض إرسال نموذج المستخدم FormData (الفورم التي تحتوي على اسم المستخدم وكلمة المرور).- تقوم الاكواد المحقونة بالتعرف ثم اعتراض أرقام بطاقات الائتمان بشكل منظم من خلال وجود تعبيرات برمجية منتظمة تسمى Regex اختصار ل (Regular Expression) في الكود الخاص بـ
- بطاقة Visa والمسمى بــ vvregex
- بطاقة ماستر كارد MasterCard المسمى بــ mcregex
- بطاقة American Express المسمى بــ amregex
- بطاقة Diner's Club المسمى بــ dcregex
لاحظ سورس الاضافة Reader Flash كما في الصورة داخل ملف Background.js
في حالة أي من البيانات الواردة في الطلب عبارة عن رقم بطاقة ، سيتم إرسال هذه الأرقام (المعلومات السرية الخاصة بالمستخدم)، بعد ان يتم تشفيرها ثم ارسالها على شكل بيانات منظمة JSON إلى المهاجم من خلال طلب AJAX.
باستعمال الدالة او الوظيفة "sendFormData" والتي تحتوي على عنوان URL النهائي المشفر باستخدام base64
باستعمال الدالة او الوظيفة "sendFormData" والتي تحتوي على عنوان URL النهائي المشفر باستخدام base64
صورة توضح الكود أو الدالة المسؤولة عن انتشار الاضافة في بقية المتصفحات
وهذه البيانات المرسلة نحو المهاجم او الهكر بصورة مشفرة عن الضحية
الشيء المطمئن أنه:
تم العثور على extention المسمى Flash Reader مثبتًا أكثر من 400 مرة ، وستكون الإضافة متاحة فقط من خلال الرابط وليس من خلال البحث عن الرسائل الشائعة. "لم ينشر هذا التحليل على نطاق واسع حتى الآن"
تم الإبلاغ عن الإضافة بواسطة مكتشفها Elevenpaths إلى Google لإزالة الإضافة من متجر Chrome.
