Chrome और Edge में एक्सटेंशन के माध्यम से बड़े पैमाने पर साइबर हमले की चेतावनी

  • पिछले सात वर्षों में लगभग 300 दुर्भावनापूर्ण एक्सटेंशन क्रोम, एज, फ़ायरफ़ॉक्स और ओपेरा में घुसपैठ करने में कामयाब रहे।
  • डार्कस्पेक्ट्रे समूह पर आरोप है कि उसने 8,8 लाख उपयोगकर्ताओं का डेटा चुराया और ऑनलाइन खरीदारी और वीडियो कॉन्फ्रेंस सत्रों में हेरफेर किया।
  • ShadyPanda, GhostPoster और Zoom Stealer जैसे अभियानों में स्टेग्नोग्राफी और Zoom, Teams और Google Meet में घुसपैठ जैसी उन्नत तकनीकों का इस्तेमाल किया गया था।
  • विशेषज्ञ एक्सटेंशन की जांच करने, ब्राउज़र को अपडेट करने, पासवर्ड बदलने और दो-चरणीय प्रमाणीकरण को सक्षम करने की सलाह देते हैं।
Alberto Navarro

9 मिनट

क्रोम और एज पर व्यापक साइबर हमला

से अधिक के लिए लगातार सात वर्षों तकएक बड़े पैमाने पर साइबर अपराध अभियान ने गूगल क्रोम और माइक्रोसॉफ्ट एज सहित बाजार में मौजूद प्रमुख ब्राउज़रों में, दिखने में हानिरहित लगने वाले एक्सटेंशन के माध्यम से घुसपैठ करने में कामयाबी हासिल की है। हमले का दायरा इतना व्यापक है कि अनुमान है कि कम से कम 8,8 मिलियन उपयोगकर्ता दुनिया भर के लोग इससे प्रभावित हो सकते थे, जिनमें से कई यूरोप और स्पेन में रहते थे।

इस जांच का नेतृत्व साइबर सुरक्षा विशेषज्ञों द्वारा किया गया, जिनमें फर्म भी शामिल है। Koi.aiने एक बेहद संगठित आपराधिक नेटवर्क का पर्दाफाश किया है, जिसे नाम दिया गया है डार्कस्पेक्टरजिन पर आधिकारिक एक्सटेंशन स्टोरों में मौजूद भरोसे का फायदा उठाकर मैलवेयर फैलाने का आरोप है। सबसे चिंताजनक बात यह है कि प्रभावित लोगों में से अधिकांश को कोई संदेह नहीं था। कि उनकी बैंक संबंधी जानकारी, पहचान पत्र या कंपनी की जानकारी पृष्ठभूमि में हासिल की जा रही थी।

क्रोम और एज एक्सटेंशन का फायदा उठाकर किया गया एक गुप्त हमला।

शोधकर्ताओं द्वारा प्रकट किए गए आंकड़ों के अनुसार, डार्कस्पेक्ट्रे ने प्रकाशन और रखरखाव के लिए एक जटिल बुनियादी ढांचा तैयार किया था। लगभग 300 दुर्भावनापूर्ण एक्सटेंशन ये एक्सटेंशन Chrome, Edge, Firefox और Opera के आधिकारिक स्टोर में उपलब्ध हैं। इनमें से कई एक्सटेंशन को बहुत ही रोजमर्रा के उपयोगी उपकरणों के रूप में प्रस्तुत किया गया है: टैब मैनेजर और अनुवादक से लेकर अन्य उपकरणों तक। विज्ञापन अवरोधक या उत्पादकता बढ़ाने के लिए उपकरण।

इसका तरीका यह था कि शुरुआत में वैध सुविधाएं प्रदान की जाएं, जिससे डाउनलोड और एक अच्छी प्रतिष्ठा प्राप्त हो सके। कृत्रिम रूप से उत्पन्न सकारात्मक समीक्षाएं और रेटिंगएक बार जब एक्सटेंशन बड़ी संख्या में उपयोगकर्ताओं तक पहुंच गए, तो हमलावरों ने उन्हें आगे बढ़ाया। गुप्त अपडेट जिसमें उपयोगकर्ता को संचालन में कोई स्पष्ट परिवर्तन दिखाई दिए बिना ही दुर्भावनापूर्ण कोड शामिल कर लिया गया था।

क्रोमियम-आधारित ब्राउज़रों के मामले में, जैसे कि गूगल क्रोम और माइक्रोसॉफ्ट एजकस्टमाइज़ेशन टूल या ऐड ब्लॉकर के रूप में छिपे हुए ट्रोजन हॉर्स-प्रकार के एक्सटेंशन का एक नेटवर्क पाया गया। हमले के कम से कम एक चरण की पहचान की गई। 30 विशेष रूप से लोकप्रिय हेयर एक्सटेंशन यह बैंकिंग क्रेडेंशियल्स, सोशल मीडिया पासवर्ड और ऑटोफिल फॉर्म डेटा चुराने में सक्षम है, और उस सारी जानकारी को वास्तविक समय में साइबर अपराधियों के नियंत्रण वाले सर्वरों पर भेज सकता है।

डेटा चोरी के अलावा, इनमें से कई एक्सटेंशन में निम्नलिखित विशेषताएं शामिल थीं: विज्ञापन इंजेक्शन और खोज पुनर्निर्देशनइससे घुसपैठ करने वाले विज्ञापनों को प्रदर्शित करना संभव हो गया, जिससे उपयोगकर्ताओं को फ़िशिंग साइटों पर पुनर्निर्देशित किया जा सकता था और धोखाधड़ी की संभावनाएँ कई गुना बढ़ गईं, जिसमें स्पेन और शेष यूरोप में व्यापक रूप से उपयोग किए जाने वाले बैंक पेजों या भुगतान सेवाओं का प्रतिरूपण भी शामिल है।

8,8 लाख से अधिक पीड़ित और तीन प्रमुख समन्वित अभियान

खुफिया सेवाओं और साइबर सुरक्षा कंपनियों द्वारा संभाले गए आंकड़ों में हमले की भयावहता का अंदाजा लगाया जा सकता है: अनुमान है कि 8,8 लाख उपयोगकर्ताओं डार्कस्पेक्ट्रे से जुड़े विभिन्न अभियानों से वे विश्व भर में प्रभावित हुए हैं। ऐसा करने के लिए, समूह ने कथित तौर पर अपनी गतिविधियों को जारी रखा। हमले की तीन अलग-अलग रणनीतियाँजिसे ShadyPanda, GhostPoster और Zoom Stealer के नाम से जाना जाता है।

अभियान शैडीपांडा मात्रा के लिहाज से यह सबसे आक्रामक था। 100 दुर्भावनापूर्ण एक्सटेंशनमुख्य रूप से ई-कॉमर्स ट्रैफिक में हेरफेर करने के उद्देश्य से किए गए इस प्रयास से डेटा से समझौता हो सकता था। लगभग 5,6 मिलियन उपयोगकर्ताएक बार छिपे हुए कार्यों को सक्रिय कर दिए जाने के बाद, ये एक्सटेंशन शॉपिंग पोर्टलों पर लिंक को संशोधित कर सकते हैं, भुगतान को धोखाधड़ी वाले पृष्ठों पर पुनर्निर्देशित कर सकते हैं, या उपयोगकर्ता गतिविधि को ट्रैक करना जारी रखने के लिए अतिरिक्त कोड इंजेक्ट कर सकते हैं।

विशेषज्ञों का कहना है कि इन युक्तियों ने यूरोपीय संघ में ऑनलाइन स्टोर और व्यापक रूप से उपयोग की जाने वाली भुगतान सेवाओं को प्रभावित किया, जिससे आगे चलकर कई और संभावनाएं खुल गईं। सीमा पार वित्तीय धोखाधड़ी और उन प्लेटफार्मों के लिए संभावित नियामक अनुपालन संबंधी समस्याएं जो समय पर ट्रैफिक में हेरफेर का पता नहीं लगा सके।

दूसरे बड़े आक्रमण को, जिसे कहा जाता है भूत पोस्टरइसका मुख्य लक्ष्य ब्राउज़र थे। फ़ायरफ़ॉक्स और ओपेराजिसमें क्रोम और एज की तुलना में कुछ कम सख्त सुरक्षा नियंत्रण थे। इस मामले में, मुख्य अंतर का कारण इसका उपयोग था। स्टेग्नोग्राफ़ीहमलावरों ने दुर्भावनापूर्ण जावास्क्रिप्ट कोड को पीएनजी इमेज फाइलों के अंदर छिपा दिया, जिससे वे बिना संदेह पैदा किए दूरस्थ निर्देशों को निष्पादित कर सके और नए मैलवेयर मॉड्यूल डाउनलोड कर सके।

सबसे उल्लेखनीय उदाहरणों में से एक था किसी अंग के विस्तार का क्लोनिंग करना। ओपेरा के लिए गूगल ट्रांसलेटजो पहली नजर में एक वैध उपकरण प्रतीत होता था। हालाँकि, पर्दे के पीछे, इसने एक बैकडोर स्थापित कर दिया। आइफ्रेम यह गुप्त रूप से ब्राउज़र की धोखाधड़ी-रोधी सुरक्षा को निष्क्रिय कर देता है और उन सर्वरों के साथ एक संबंध स्थापित करता है जो पहले अन्य डार्कस्पेक्ट्रे अभियानों से जुड़े थे, जिससे पीड़ित के सिस्टम तक स्थायी पहुंच का एक चैनल बन जाता है।

ज़ूम स्टीलर: कॉर्पोरेट वीडियो कॉल में जासूसी की दुनिया में एक नया कदम

हमले के तीसरे चरण को इस प्रकार पहचाना गया है ज़ूम स्टीलरपूरी तरह से इस पर ध्यान केंद्रित करके एक गुणात्मक छलांग लगाई। व्यापारिक वातावरण2025 के अंत तक, शोधकर्ताओं ने कम से कम का पता लगाया है 18 विशिष्ट एक्सटेंशन ज़ूम, माइक्रोसॉफ्ट टीम्स और गूगल मीट जैसे वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म को लक्षित करते हुए, अनुमानित प्रभाव के साथ 2,2 लाख उपयोगकर्ताओं.

इन एक्सटेंशनों को टेलीवर्किंग और रिमोट मीटिंग्स के लिए आदर्श पूरक के रूप में प्रचारित किया गया था: उन्होंने वादा किया था वीडियो का सारांश बनाएं, रुचि के लिंक सहेजें, प्रतिभागियों की सूची बनाएं या प्रत्येक सत्र का स्वचालित सारांश तैयार करें। यह उन स्पेनिश और यूरोपीय कंपनियों के लिए एक बहुत ही आकर्षक प्रोफ़ाइल है जिन्होंने हाल के वर्षों में हाइब्रिड और रिमोट वर्क को मजबूती से अपनाया है।

उनकी स्थापना के बाद, उपकरण काम करने लगे महत्वपूर्ण जानकारी को रोकना वीडियो कॉल से प्राप्त जानकारी में शामिल हैं: एक्सेस लिंक, मीटिंग आईडी, अतिथि पासवर्ड और कुछ मामलों में, सत्रों के दौरान चर्चा की गई प्रस्तुतियों और दस्तावेजों से संबंधित साझा सामग्री या मेटाडेटा।

इस डेटा की मदद से हमलावर निजी बैठकों, जिनमें से कई उच्च स्तरीय थीं, तक पहुँचने और उनका डेटा भंडार बनाने में सक्षम हुए। पेशेवर और वाणिज्यिक खुफिया जानकारी अत्यंत रणनीतिक महत्व के साथ। सूत्रों के अनुसार, व्यापार योजनाओं, निवेश समझौतों, बाजार रणनीतियों और अन्य ऐसे मामलों से संबंधित आंतरिक संचार में सेंध लगाई गई, जो संबंधित कंपनियों की प्रतिस्पर्धात्मकता के लिए अत्यंत संवेदनशील हैं।

इसके समानांतर, ज़ूम स्टीलर ने एक्सटेंशन को दी गई व्यापक अनुमतियों का फायदा उठाकर अपने कार्यों को अंजाम दिया। वास्तविक समय में क्रेडेंशियल लीकइसमें कॉर्पोरेट लॉगिन क्रेडेंशियल, क्लाउड टूल्स की एक्सेस कीज़ और प्रोफेशनल प्रोफाइल शामिल थे, जिनका इस्तेमाल लक्षित हमलों में किया जा सकता था, जैसे कि यूरोपीय संगठनों के कर्मचारियों के खिलाफ अत्यधिक अनुकूलित फ़िशिंग अभियान।

यूरोप और स्पेन में उपयोगकर्ताओं और कंपनियों पर प्रभाव

डार्कस्पेक्ट्रे मामले ने इस बात को उजागर किया है कि किस हद तक हेयर एक्सटेंशन स्टोर की भरोसेमंद श्रृंखला यह नागरिकों और संगठनों के लिए एक जोखिम का कारण बन सकता है। हालांकि हमले का प्रभाव वैश्विक स्तर पर था, फिर भी स्पेन सहित कई देशों में यूरोपीय अधिकारी और घटना प्रतिक्रिया दल स्थानीय उपयोगकर्ताओं पर इसके प्रभाव की बारीकी से निगरानी कर रहे हैं।

व्यक्तिगत उपयोगकर्ताओं के लिए, इसके परिणाम इस प्रकार हैं: उसकी गुप्त निगरानी ऑनलाइन गतिविधिपहचान की चोरी, ऑनलाइन खरीदारी पर अनधिकृत शुल्क, और निजी डेटा का रिसाव जो गुप्त मंचों पर पहुंच सकता है, जैसी समस्याएं पैदा कर सकती हैं। कई पीड़ितों को पता भी नहीं चलेगा कि उन्हें निशाना बनाया गया है, क्योंकि अधिकांश एक्सटेंशन सामान्य रूप से काम करते हुए दिखाई देते हैं।

कॉर्पोरेट जगत में तो यह झटका और भी गंभीर है। यूरोपीय कंपनियां जो अपने संचालन का एक बड़ा हिस्सा क्लाउड टूल्स और वीडियो कॉन्फ्रेंसिंग पर आधारित करती हैं, उन्हें चुनौतियों का सामना करना पड़ रहा है। औद्योगिक जासूसी के जोखिमरणनीतिक समझौतों का रिसाव और ग्राहकों, आपूर्तिकर्ताओं और भागीदारों के बारे में गोपनीय जानकारी का खुलासा। इसके अलावा, कंपनियों को कुछ नियमों के तहत सुरक्षा घटनाओं की रिपोर्ट करना आवश्यक हो सकता है। सामान्य डेटा संरक्षण विनियमन (RGPD)प्रतिष्ठा संबंधी नुकसान और संभावित प्रतिबंधों को ध्यान में रखते हुए।

प्रारंभिक रिपोर्टों से पता चलता है कि आपराधिक नेटवर्क ने शायद प्रामाणिक संरचनाएँ बना ली हैं। कॉर्पोरेट डेटा वेयरहाउस यह जानकारी निजी बातचीत, बैठकों में साझा किए गए दस्तावेज़ों और इंट्रानेट या आंतरिक सेवाओं तक अनधिकृत पहुंच के माध्यम से प्राप्त की जाती है। यह काला बाज़ार में बिक्री के साथ-साथ ब्लैकमेल अभियानों या अनुचित प्रतिस्पर्धा के लिए अत्यंत मूल्यवान है।

यूरोपीय अधिकारी हेयर एक्सटेंशन की दुकानों में पहचान प्रणालियों को बेहतर बनाने और व्यक्तिगत डेटा के उपयोग पर नियंत्रण मजबूत करने के लिए प्रौद्योगिकी प्रदाताओं के साथ सहयोग कर रहे हैं। हालांकि, विशेषज्ञ बताते हैं कि कोई भी स्वचालित प्रणाली अचूक नहीं होती। और सुरक्षा की अंतिम कड़ी उपयोगकर्ता और उनकी सुरक्षा संबंधी आदतें ही हैं।

Chrome और Edge पर हुए बड़े साइबर हमले के बाद खुद को कैसे सुरक्षित रखें

इस तरह की लंबी और जटिल परिस्थिति का सामना करते हुए, साइबर सुरक्षा विशेषज्ञ तत्काल उपायों की एक श्रृंखला की सिफारिश करते हैं। प्रभाव को कम करें इस हमले को रोकना और आगे के संक्रमणों को रोकना, विशेष रूप से स्पेन और शेष यूरोप में क्रोम और एज उपयोगकर्ताओं के बीच।

पहला कदम एक प्रदर्शन करना है एक्सटेंशन का पूर्ण ऑडिट ये ऐड-ऑन सभी ब्राउज़रों पर इंस्टॉल होते हैं। बेहतर होगा कि आप इन्हें एक-एक करके देखें और उन ऐड-ऑन को अनइंस्टॉल कर दें जो पहचाने नहीं जाते, नियमित रूप से उपयोग नहीं किए जाते या किसी विश्वसनीय डेवलपर द्वारा नहीं बनाए गए हैं। यदि आपको कोई संदेह है, तो बेहतर यही होगा कि आप इन्हें आधिकारिक प्रदाता के स्रोत से ही हटाकर दोबारा इंस्टॉल करें, और वह भी केवल तभी जब यह बिल्कुल आवश्यक हो।

यह भी जांचना आवश्यक है कि ब्राउज़र नवीनतम उपलब्ध संस्करण में अपडेट किया गयागूगल और माइक्रोसॉफ्ट दोनों ही डार्कस्पेक्ट्रे द्वारा उपयोग की जाने वाली कुछ तकनीकों को अवरुद्ध करने के लिए पैच शामिल कर रहे हैं, इसलिए नवीनतम संस्करणों में संदिग्ध व्यवहार का पता लगाने और एक्सटेंशन अनुमतियों के प्रबंधन में विशिष्ट सुधार शामिल हैं।

ऑनलाइन खातों के संबंध में, बदलाव करने की सलाह दी जाती है। महत्वपूर्ण सेवाओं के लिए पासवर्ड (ईमेल, ऑनलाइन बैंकिंग, सोशल मीडिया, कॉर्पोरेट टूल्स) यदि किसी भी प्रकार के असुरक्षित एक्सटेंशन के उपयोग का संदेह हो, तो तुरंत जांच शुरू कर दें। प्रत्येक सेवा के लिए अद्वितीय और मजबूत पासवर्ड का उपयोग करना उचित होगा, आदर्श रूप से पासवर्ड मैनेजर की सहायता से।

इसके अलावा, विशेषज्ञ सक्रिय करने पर जोर देते हैं दो-कारक प्रमाणीकरण (2FA) जब भी संभव हो। यह तंत्र सुरक्षा की एक अतिरिक्त परत जोड़ता है, ताकि यदि कोई हमलावर पासवर्ड प्राप्त कर भी ले, तो भी अस्थायी कोड या दूसरे सत्यापन तत्व के बिना खाते तक पहुंचना उनके लिए बहुत मुश्किल होगा।

अंत में, ज़ूम, टीम्स या गूगल मीट जैसे प्लेटफ़ॉर्म पर अत्यधिक निर्भर रहने वाले संगठनों के लिए, यह अनुशंसा की जाती है कि वे इसे लागू करें। स्थापित एक्सटेंशनों का आवधिक निरीक्षण कॉर्पोरेट ब्राउज़रों में, सुरक्षा नीतियों को लागू करें जो अनधिकृत ऐड-ऑन की स्थापना को सीमित करते हैं और कर्मचारियों को एक्सटेंशन और ईमेल या लिंक दोनों में संभावित घोटालों का पता लगाने के लिए प्रशिक्षित करते हैं जो समान अभियानों के साथ आ सकते हैं।

डार्कस्पेक्टर और उसके शैडीपांडा, घोस्टपोस्टर और ज़ूम स्टीलर अभियानों के बारे में जो कुछ भी पता चला है, वह इस बात को दर्शाता है कि किस हद तक ब्राउज़र एक्सटेंशन एक प्रमुख लक्ष्य बन गए हैं। साइबर अपराधियों के लिए, आधिकारिक स्टोरों पर भरोसा, उपयोगी सुविधाएँ और हेरफेर की गई समीक्षाओं के संयोजन ने उन्हें वर्षों तक चुपचाप हमले करने की अनुमति दी है, जिसका व्यक्तिगत उपयोगकर्ताओं और कंपनियों पर भारी प्रभाव पड़ा है। यह हमें अपने दैनिक डिजिटल जीवन में इन ऐड-ऑन को स्थापित करने और प्रबंधित करने के तरीके पर पुनर्विचार करने के लिए मजबूर करता है।

Google Chrome में VPN एक्सटेंशन कैसे जोड़ें
संबंधित लेख:
Google Chrome में VPN एक्सटेंशन कैसे जोड़ें