این افزونه VPN کروم از تمام سایت‌هایی که بازدید می‌کنید، اسکرین شات می‌گیرد!

بنا بر تحقیقات کارشناسان امنیتی، یک افزونه VPN کروم که در مرورگر کروم بیش از 100 هزار بار نصب شده و نشان تأیید رسمی در فروشگاه افزونه‌های Chrome Web Store دریافت کرده، از صفحه‌نمایش کاربران اسکرین‌شات می‌گیرد و این تصاویر را به سرورهای دوردست منتقل می‌کند.

شناسایی یک افزونه VPN کروم مشکوک

بر اساس بررسی تیم Koi Security، این افزونه VPN که با نام FreeVPN.One منتشر شده، عملاً اقدام به ضبط اسکرین‌شات‌های تمام‌صفحه از مرورگر کاربران کرده و داده‌های بصری بسیار حساس همچون پیام‌های شخصی، داشبوردهای مالی، و حتی تصاویر خصوصی را ثبت نموده و سپس این اطلاعات را به دامنه aitd[.]one که توسط توسعه‌دهنده افزونه ثبت شده، ارسال می‌کند.

آنالیز Koi Security نشان داد که مکانیزم نظارت و جاسوسی تنها چند ثانیه پس از بارگذاری هر وب‌سایت به‌صورت خودکار فعال می‌شود. این کار از طریق رابط سطح بالای کروم با نام chrome.tabs.captureVisibleTab() صورت می‌گیرد که در پس‌زمینه بی‌صدا اجرا شده و بدون اطلاع کاربر تصاویر را به همراه داده‌های جانبی نظیر آدرس صفحات، شناسه تب‌ها و شناسه‌های منحصربه‌فرد کاربر بسته‌بندی کرده و به سرور تحت کنترل مهاجم در آدرس aitd.one/brange.php منتقل می‌کند؛ همه این مراحل بدون نیاز به تعامل کاربر و بدون هیچ‌گونه علایم ظاهری انجام می‌گیرد.

رفتار جاسوسی این افزونه بر مبنای یک معماری دو مرحله‌ای پیاده‌سازی شده است: نخست، یک اسکریپت محتوایی که در تمام وب‌سایت‌های بازدیدشده تزریق می‌شود (با استفاده از الگوهای matches شامل http:/// و https:///). دوم، یک سرویس‌ورکر پس‌زمینه به پیام داخلی captureViewport گوش می‌دهد و فرآیند ثبت اسکرین‌شات را آغاز می‌کند.

افزونه همچنین یک قابلیت موسوم به AI Threat Detection را تبلیغ می‌کند که هنگام کلیک کاربر روی آن، یک اسکرین‌شات جدید گرفته و به مسیر aitd.one/analyze.php ارسال می‌کند. با این حال مشکل اصلی اینجاست که اسکرین‌شات‌ها مدت‌ها قبل از آنکه کاربر حتی این قابلیت را لمس کند ثبت می‌شوند، بنابراین این رابط کاربری چیزی جز یک پوشش فریبنده نیست.

Koi Security توضیح داده که در نسخه جدید افزونه، یعنی v3.1.4، الگوریتم رمزنگاری AES-256-GCM همراه با روش RSA Key Wrapping به کار گرفته شده تا داده‌های سرقت‌شده رمزگذاری و پنهان شوند و تشخیص یا تحلیل آن‌ها توسط ابزارهای پایش شبکه دشوارتر گردد. این تیم همچنین جدول زمانی زیر را درباره روند توسعه FreeVPN.One ارائه کرده که نشان می‌دهد چگونه این ابزار از یک ابزار ظاهراً حفاظتی به تهدیدی علیه حریم خصوصی تبدیل شد:

آوریل 2025 (نسخه v3.0.3): افزونه شروع به درخواست مجوزهای گسترده‌تر می‌کند که زمینه افزایش قابلیت‌های نظارتی را فراهم می‌سازد، اما هنوز رفتار جاسوسی مشاهده نمی‌شود.
ژوئن 2025 (نسخه v3.1.1): معرفی AI Threat Detection؛ اسکریپت‌های محتوایی به تمام وب‌سایت‌ها گسترش یافته و مجوز اجرای اسکریپت اضافه می‌شود.
17 ژوئیه 2025 (نسخه v3.1.3): بدافزار فعال می‌گردد؛ ثبت اسکرین‌شات‌ها، رهگیری موقعیت جغرافیایی و دریافت اثرانگشت دستگاه آغاز می‌شود.
25 ژوئیه 2025 (نسخه v3.1.4): انتقال داده‌ها با رمزگذاری انجام می‌شود تا ابزارهای شناسایی دور زده شوند.

توسعه‌دهنده افزونه در پاسخ به پرسش‌های Koi Security ادعا کرده که عملکرد ثبت اسکرین‌شات‌های پس‌زمینه بخشی از یک «اسکن امنیتی» با هدف کشف تهدیدات است. با این حال، بررسی‌های Koi Security نشان داده که این ابزار به‌طور کورکورانه اطلاعات از وب‌سایت‌های ایمن و پرکاربردی مانند Google Sheets، پورتال‌های بانکی و گالری‌های عکس شخصی کاربران را ضبط می‌کند.

توسعه‌دهنده همچنین مدعی شده که اسکرین‌شات‌ها ذخیره نمی‌شوند و صرفاً برای تحلیل توسط ابزارهای هوش مصنوعی استفاده می‌گردند، اما هیچ روش قابل‌اعتمادی برای تأیید این ادعا ارائه نکرده است.

بررسی‌های بیشتر Koi Security در مورد ناشر این افزونه VPN کروم نشان داده که هیچ سازمانی معتبری برای آن وجود ندارد. دامنه phoenixsoftsol.com که به آدرس ایمیل توسعه‌دهنده پیوند خورده، صرفاً یک صفحه رایگان Wix را باز می‌کند که فاقد هرگونه جزئیات شرکتی یا شفافیت است. گزارش شده که پس از پاسخ اولیه به سؤالات، توسعه‌دهنده ارتباط خود را با محققان قطع کرده است.

در زمان نگارش این گزارش، افزونه FreeVPN.One همچنان در فروشگاه رسمی کروم فهرست شده و وضعیت تأییدشده خود را حفظ کرده است. وب‌سایت CyberInsider نیز برای دریافت توضیح با ناشر تماس گرفته، اما پاسخی دریافت نکرده و بنابراین هنوز مشخص نیست که این اقدامات به قصد خرابکارانه انجام شده یا ناشی از پیاده‌سازی یک سیستم امنیتی پرخطر بوده است.

در هر صورت، توصیه می‌شود کاربرانی که در بازه زمانی فعال بودن این افزونه در مرورگر کروم خود از سرویس‌های مختلف استفاده کرده‌اند، رمز عبور حساب‌هایشان را تغییر دهند و در آینده به‌جای چنین ابزارهای مشکوکی، از سرویس‌های VPN معتبر با سیاست‌های شفاف در زمینه حفظ حریم خصوصی و مدیریت داده‌ها استفاده کنند.

منبع خبر