במסגרת הדו"ח השבועי שמפיצה חברת Experis Cyber ללקוחותיה, נחשפה תופעה מדאיגה במיוחד: תוספים פופולריים ומוכרים לדפדפן Google Chrome, שהורדו על ידי יותר מ־2.3 מיליון משתמשים - התגלו ככלי ריגול זדוניים.
הדו"ח, שנשלח השבוע ללקוחות החברה, מתאר כיצד כמעט תריסר תוספים שהיו זמינים בחנות הרשמית של כרום, ולכאורה סיפקו שירותים כמו VPN, שליטת ווליום, מקלדת אימוג’י ועוד - ביצעו בפועל מעקב אחר פעילות המשתמשים, שלחו את המידע שאספו לשרתים חיצוניים, ולעיתים אף כיוונו את המשתמשים לכתובות אינטרנט חשודות.
החשיפה בוצעה על ידי חוקרי חברת Koi Security, שזיהו את הקוד הזדוני בדפדפנים ודיווחו על כך לגוגל. חלק מהתוספים כבר הוסרו מהחנות - אך אחרים עדיין זמינים להורדה, חלקם עם אימות רשמי של גוגל, מאות ביקורות חיוביות, ודירוג גבוה בתוצאות החיפוש.
בין התוספים הזדוניים שצוינו:
Geco Color Picker
Emoji Keyboard Online
Free Weather Forecast
Volume Max
Unlock Discord VPN
Unlock TikTok
Dark Theme
Unlock YouTube VPN
אחד התוספים, Volume Max, כבר דווח בעבר כחשוד - אך רק כעת אושר כי הוא אכן מכיל קוד ריגול.
לפי הדו"ח, קוד הריגול מושתל "מאחורי הקלעים" של התוסף ופועל ברקע - בזמן שהמשתמש גולש באתרים שונים. כל כתובת שנכנסת להיסטוריה נאספת ונשלחת עם מזהה ייחודי לשרת מרוחק. החוקרים מציינים כי עדיין לא זוהו ניסיונות בפועל לנתב את המשתמשים לאתרים זדוניים, אך האפשרות קיימת ומובנית במערכת.
מדאיג עוד יותר: במקרים רבים, התוספים היו בטוחים לחלוטין במשך שנים, עד ש"נחטפו" על ידי גורמים עוינים - שהשתילו בהם קוד מסוכן, כפי שכבר קרה במקרים דומים בעבר. מכיוון שתוספי כרום מתעדכנים אוטומטית - רוב המשתמשים כלל לא ידעו שהותקן אצלם קוד עוין.
Experis Cyber מדווחת כי בנוסף לדפדפן כרום, נמצאו תוספים זדוניים גם בחנות Microsoft Edge - עם למעלה מ־600 אלף הורדות נוספות. מדובר ככל הנראה באחת הפרשות החמורות ביותר בתחום חטיפת דפדפנים עד כה.
רומן מלכוב, מנהל ה־SOC ב־Experis Cyber, התריע: "החשיפה הזו מדגישה עד כמה גם תוספים שנראים לגיטימיים ואף מאומתים - עלולים להוות איום חמור על פרטיות המשתמשים. תופעת חטיפת התוספים אינה חדשה, אך ההיקף הנוכחי חריג במיוחד".
מלכוב ממליץ: לבצע סריקה שוטפת של כל התוספים בדפדפנים, במיוחד בארגונים. לוודא שמנגנוני האבטחה מעודכנים. להפעיל הגנות ייעודיות - למשל חסימת Mail Bombing בהגדרות המייל. לדבריו,"השילוב בין יכולות מעקב שקטות להפצה דרך חנות רשמית הוא תמרור אזהרה - לכולנו. גם משתמשים פרטיים, גם גופי IT חייבים להגיב במהירות ובנחישות".