اضافة خطيرة لسرقة حسابات المستخدمين في جوجل كروم

0
اضافة خطيرة لسرقة حسابات المستخدمين في جوجل كروم
تسببت إضافة موجودة في متجر جوجل كروم والتي لا تزال متوفرة لحد الان في سوق Chrome الإلكتروني في سرقة معلومات بطاقات الدفع والحسابات البنكية وكللمات المرور الخاصة بالمواقع التي يزورها المستخدم.
تم العثور على الامتداد في فبراير 2018 ، ولكن الاضافة extenstion مخفية في عمليات البحث العادية ولن يكون متاحًا لك تثبيتها إلا من خلال الرابط الذي يستخدمه المهاجمون للانتشار.
تتنكر هذه الاضافة تحت اسم مشهور وهو Reader Flash , وهي تعتمد على طريقة الحقن ، بحيث يستخدم المهاجمون لإصابة مواقع الويب أكواد جافا سكريبت خبيثة javascript والتي تكشف المتصفح الذي يستخدمه الضحايا وعلى أساسه تشير إلى تثبيت الفلاش وإعادة توجيه متصفحك لتنزيل الإضافة.

صورة الاضافة في متجر جوجل كروم


تحليل الاضافة Reader Flash وفهم الية عملها

وفقًا لتحليل Elevenpath مكتشفها، يتضمن الامتداد وظيفة او دالة  Function تعمل على جميع المواقع التي يزورها المستخدم ويستغل طلبات المتصفح API webRequest.onBeforeRequest ثم اعتراض إرسال نموذج المستخدم  FormData  (الفورم التي تحتوي على اسم المستخدم وكلمة المرور).

  • تقوم الاكواد المحقونة بالتعرف ثم اعتراض أرقام بطاقات الائتمان بشكل منظم من خلال وجود تعبيرات برمجية منتظمة تسمى Regex اختصار ل (Regular Expression) في الكود الخاص بـ 
  1. بطاقة Visa والمسمى بــ  vvregex
  2. بطاقة ماستر كارد MasterCard المسمى بــ mcregex
  3. بطاقة  American Express المسمى بــ amregex
  4. بطاقة  Diner's Club  المسمى بــ dcregex

لاحظ  سورس الاضافة Reader Flash  كما في الصورة داخل ملف Background.js


في حالة أي من البيانات الواردة في الطلب عبارة عن رقم بطاقة ، سيتم إرسال هذه الأرقام (المعلومات السرية الخاصة بالمستخدم)، بعد ان يتم تشفيرها ثم ارسالها على شكل بيانات منظمة JSON إلى المهاجم من خلال طلب AJAX.


باستعمال الدالة او الوظيفة "sendFormData"  والتي تحتوي على عنوان URL النهائي المشفر باستخدام base64
sendFormData

صورة توضح الكود أو الدالة المسؤولة عن انتشار الاضافة في بقية المتصفحات

صورة توضح الكود أو الدالة المسؤولة عن انتشار الاضافة في بقية المتصفحات

وهذه البيانات المرسلة نحو المهاجم او الهكر بصورة مشفرة عن الضحية


الشيء المطمئن أنه:
 تم العثور على extention المسمى Flash Reader مثبتًا أكثر من 400 مرة ، وستكون الإضافة متاحة فقط من خلال الرابط وليس من خلال البحث عن الرسائل الشائعة. "لم ينشر هذا التحليل على نطاق واسع حتى الآن"
تم الإبلاغ عن الإضافة بواسطة مكتشفها Elevenpaths إلى Google لإزالة الإضافة من متجر Chrome.