By | 12 آذر 1401
افزونه SearchBlox

افزونه SearchBlox که برای بازی آنلاین Roblox استفاده می شود با بیش از 200000 دانلود حاوی Backdoor است که بوسیله آن می تواند اطلاعات و دارایی های Roblox شما را بدزدد.

 

افزونه SearchBlox بازیکنان بازی آنلاین Roblox را هدف قرار می دهد

 

اکستنشن «SearchBlox» در فروشگاه وب Chrome قرار دارد و کاربران را در معرض خطر قرار می دهد.

دو نتیجه جستجو برای «SearchBlox» در کروم وجود دارد.

افزونه SearchBlox

این افزونه‌ها ادعا می‌کنند که به شما این امکان را می‌دهند  که به سرورهای پرسرعت Roblox متصل شوید اما هر دو حاوی Backdoor هستند.

شناسه‌های این افزونه‌های ناامن عبارتند از:

  • blddohgncmehcepnokognejaaahehncd
  • ccjalhebkdogpobnbdhfpincfeohonni

چندی پیش در میان بازی کننده های Roblox صحبتی در مورد اینکه افزونه SearchBlox حاوی بدافزار یا Backdoor است پیچید.

RTC یک حساب اجتماعی و خبری غیررسمی Roblox، در توییتی نوشت: “افزونه محبوب SearchBlox به خطر افتاده است و حاوی Backdoor است اگراز آن استفاده می کنید ممکن است حساب شما در خطر باشد. رمز عبور حساب خود را تغییر دهید تا حساب شما دوباره ایمن باشد.

با تجزیه و تحلیلی که بر روی افزونه SearchBlox انجام شد، Backdoor در خط 3 فایل ‘content.js’ یافت شد.

افزونه SearchBlox

برای افزونه دوم  هم که 959 دانلود داشت، Backdoor در فایل ‘button.js’ یافت شد.

URL هر دو مورد به شرح زیر است:

hxxps://searchblox[.]site/image.png/image.txt

نکته جالب ساختار فایل image.png/image.txt است. صفحه حاوی کد HTML است که وانمود می کند تصویری را با استفاده از تگ “<img>” نمایش می دهد، اما در واقع فایل جاوا اسکریپتی را بارگیری می کند که به عنوان موجودیت های HTML با استفاده از نمادهای ‘&’ و ‘#’ کدگذاری شده است.

افزونه SearchBlox

زمانی که کد رمزگشایی می شود، کد مبهم به دست می آید و به نظر می رسد اعتبار Roblox را به دامنه دیگری منتقل می کند: releasethen.site.

افزونه SearchBlox

نکته قابل توجه این است که هر دو دامنه ‘searchblox.site’ و ‘releasethen.site’ در این ماه ثبت شده اند و یک میزبان وب مشترک به نام Hostinger دارند! همچنین به نظر می رسد این کد یک بازیکن را در Rolimons.com بررسی می کند.

 

‘SearchBlox’ ؛ یک مجرم تکراری

متأسفانه، به نظر نمی رسد که این اولین بار باشد که افزونه مخرب ‘SearchBlox’ کاربران Roblox را هدف قرار داده باشد. در ماه اکتبر، گوگل یکی دیگر از افزونه های «SearchBlox» را که حداقل از 28 ژوئن 2022 در فروشگاه وب کروم قرار داشت، حذف کرد.

در مورد اینکه آیا Backdoor پس از ساخت افزونه ها توسط یک فرد دیگر بعدا در برنامه تزریق شده و یا عمداً توسط خود توسعه دهنده قرار داده شده چیزی است که هنوز به طور قطع مشخص نشده است.

گمانه‌زنی‌هایی در میان اعضای انجمن Roblox وجود دارد. آن ها دریافتند که موجودی حساب کاربر «Unstoppablelucent» در Roblox که ظاهراً توسعه‌دهنده ی این افزودنه است، یک شبه چند برابر شده است. از طرف دیگر هم حساب کاربری «ccfont» به دلیل معاملات مشکوک مسدود شده است.

در زمان نوشتن این مقاله هم افزونه و هم URL های آن در سایت VirusTotal تمیز(Clean) تشخیص داده شده است. و این امر شناسایی این افزونه های مخرب را بسیار سخت تر می کند.

بهترین راهکار برای افرادی که «SearchBlox» را نصب کرده اند این است که فوراً افزونه را حذف کرده و کوکی‌های خود را پاک کنند و رمزهای عبور خود را در Roblox و سایر وب‌سایت‌هایی که ممکن است در زمان استفاده از این افزونه وارد آن شده باشند را تغییر دهند.

با توجه به گزارش های BleepingComputer به گوگل؛ این کمپانی اعلام کرد که این افزونه ها در لیست سیاه قرار دارند و بطور خودکار از سیستم کاربرانی که قبلا آنها را دانلود کرده بودند حذف خواهد شد.

 

منبع:

bleepingcomputer.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *