شرکت امنیتی Radware تعداد ۷ افزونه مخرب مرورگر گوگل کروم را کشف کرده که بیش از ۱۰۰ هزار کامپیوتر را آلوده کرده اند.این بد افزارها گواهینامه های مرتبط به ارزهای مجازی
- Nigelify
- PwnerLike
- Alt-j
- Fix-case
- Divinity 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
از بین آنها، ۵ مورد در کمتر از یک روز و پس از ارائه گزارش Radware، توسط گوگل حذف شده اند. بر اساس گزارش ها ۷۵ درصد از کاربرانی که به این بد افزارها آلوده شده اند ساکن فیلیپین، ونزوئلا و اکوادور بوده اند.
جدولی از آمار تعداد نصب های ۷ افزونه آلوده. ۵ مورد در کمتر از ۱ روز پس از کشف شدن پاک شده اند و آماری از آنها در دسترس نیست.
محققان Radware ادعا کرده اند که توسعه دهندگان این افزونه ها توانسته اند با موفقیت از سد ابزارهای اعتبار سنجی اپلیکیشن گوگل عبور کنند. آنها به این منظور ابتدا افزونه های مشروع را کپی کرده و سپس اسکریپت های فعال کننده بد افزارها
بد افزار یاد شده در ابتدا توسط پیوندهایی از طریق پیام رسان فیسبوک و یا به واسطه پستی در این شبکه اجتماعی که در آن حدود ۵۰ فرد از لیست مخاطبین تگ شده بودند، ارسال شده. هنگامی که کاربران روی این لینک ها کلیک می کردند، به صفحه ای جعلی در یوتیوب
صفحه اصلی یکی از افزونه ها در سمت چپ در مقابل نمونه جعلی در سمت راست
پس از اینکه افزونه نصب می شد، بدافزار تلاش می کرد گواهینامه های لاگین کاربر به شبکه های اجتماعی فیسبوک و اینستاگرام را سرقت کرده و در نهایت از این گواهینامه ها برای انتشار بد افزار بهره ببرد.
علاوه بر سرقت گواهینامه ها، افزونه های آلوده یک نرم افزار معدن کاو رمزپول را نصب می کرند که اقدام به معدن کاوی ارزهای دیجیتال مونرو، بایت کوین و الکترونئوم می کرد. بر اساس این گزارش توسعه دهندگان بدافزار یاد شده موفق شده اند معادل با حدود ۱۰۰۰ دلار رمزپول استخراج کنند.
صفحه جعلی یوتیوب که کاربران را مجبور به نصب افزونه می کند.
همچنین برای اینکه کاربران قادر به حذف این افزونه ها نباشند، توسعه دهندگان ویژگی خاصی را در آنها تعبیه کرده اند که به محض باز شدن تب افزونه ها در مرورگر کروم ، به طور خودکار اقدام به بستن این تب می کند.
در ماه های اخیر بد افزارها ی متعدد دیگری که اقدام به سرقت گواهینامه های لاگین فیسبوک می کردند نیز توسط شرکت امنیتی Radware کشف شده اند.
