افزونه SearchBlox که برای بازی آنلاین Roblox استفاده می شود با بیش از 200000 دانلود حاوی Backdoor است که بوسیله آن می تواند اطلاعات و دارایی های Roblox شما را بدزدد.
افزونه SearchBlox بازیکنان بازی آنلاین Roblox را هدف قرار می دهد
اکستنشن «SearchBlox» در فروشگاه وب Chrome قرار دارد و کاربران را در معرض خطر قرار می دهد.
دو نتیجه جستجو برای «SearchBlox» در کروم وجود دارد.
این افزونهها ادعا میکنند که به شما این امکان را میدهند که به سرورهای پرسرعت Roblox متصل شوید اما هر دو حاوی Backdoor هستند.
شناسههای این افزونههای ناامن عبارتند از:
- blddohgncmehcepnokognejaaahehncd
- ccjalhebkdogpobnbdhfpincfeohonni
چندی پیش در میان بازی کننده های Roblox صحبتی در مورد اینکه افزونه SearchBlox حاوی بدافزار یا Backdoor است پیچید.
RTC یک حساب اجتماعی و خبری غیررسمی Roblox، در توییتی نوشت: “افزونه محبوب SearchBlox به خطر افتاده است و حاوی Backdoor است اگراز آن استفاده می کنید ممکن است حساب شما در خطر باشد. رمز عبور حساب خود را تغییر دهید تا حساب شما دوباره ایمن باشد.
با تجزیه و تحلیلی که بر روی افزونه SearchBlox انجام شد، Backdoor در خط 3 فایل ‘content.js’ یافت شد.
برای افزونه دوم هم که 959 دانلود داشت، Backdoor در فایل ‘button.js’ یافت شد.
URL هر دو مورد به شرح زیر است:
hxxps://searchblox[.]site/image.png/image.txt
نکته جالب ساختار فایل image.png/image.txt است. صفحه حاوی کد HTML است که وانمود می کند تصویری را با استفاده از تگ “<img>” نمایش می دهد، اما در واقع فایل جاوا اسکریپتی را بارگیری می کند که به عنوان موجودیت های HTML با استفاده از نمادهای ‘&’ و ‘#’ کدگذاری شده است.
زمانی که کد رمزگشایی می شود، کد مبهم به دست می آید و به نظر می رسد اعتبار Roblox را به دامنه دیگری منتقل می کند: releasethen.site.
نکته قابل توجه این است که هر دو دامنه ‘searchblox.site’ و ‘releasethen.site’ در این ماه ثبت شده اند و یک میزبان وب مشترک به نام Hostinger دارند! همچنین به نظر می رسد این کد یک بازیکن را در Rolimons.com بررسی می کند.
‘SearchBlox’ ؛ یک مجرم تکراری
متأسفانه، به نظر نمی رسد که این اولین بار باشد که افزونه مخرب ‘SearchBlox’ کاربران Roblox را هدف قرار داده باشد. در ماه اکتبر، گوگل یکی دیگر از افزونه های «SearchBlox» را که حداقل از 28 ژوئن 2022 در فروشگاه وب کروم قرار داشت، حذف کرد.
در مورد اینکه آیا Backdoor پس از ساخت افزونه ها توسط یک فرد دیگر بعدا در برنامه تزریق شده و یا عمداً توسط خود توسعه دهنده قرار داده شده چیزی است که هنوز به طور قطع مشخص نشده است.
گمانهزنیهایی در میان اعضای انجمن Roblox وجود دارد. آن ها دریافتند که موجودی حساب کاربر «Unstoppablelucent» در Roblox که ظاهراً توسعهدهنده ی این افزودنه است، یک شبه چند برابر شده است. از طرف دیگر هم حساب کاربری «ccfont» به دلیل معاملات مشکوک مسدود شده است.
در زمان نوشتن این مقاله هم افزونه و هم URL های آن در سایت VirusTotal تمیز(Clean) تشخیص داده شده است. و این امر شناسایی این افزونه های مخرب را بسیار سخت تر می کند.
بهترین راهکار برای افرادی که «SearchBlox» را نصب کرده اند این است که فوراً افزونه را حذف کرده و کوکیهای خود را پاک کنند و رمزهای عبور خود را در Roblox و سایر وبسایتهایی که ممکن است در زمان استفاده از این افزونه وارد آن شده باشند را تغییر دهند.
با توجه به گزارش های BleepingComputer به گوگل؛ این کمپانی اعلام کرد که این افزونه ها در لیست سیاه قرار دارند و بطور خودکار از سیستم کاربرانی که قبلا آنها را دانلود کرده بودند حذف خواهد شد.
منبع:
bleepingcomputer.com