یکی از VPNهای مشهور گوگل کروم با بیش از ۱۰۰ هزار نصب، مخفیانه از سیستم کاربر اسکرینشات میگیرد و دادههای حساس او را نیز استخراج و ارسال میکند.
این افزونه از یک معماری دو مرحلهای برای ضبط اسکرینشات استفاده میکند.
افزونهای در کروم که با نام FreeVPN.One به بازار عرضه شده و با بیش از ۱۰۰۰۰۰ نصب، نشان تأیید شده از سمت Chrome دارد و جایگاه ویژهای در فروشگاه وب کروم دارد، به عنوان یک جاسوسافزار شناخته شده است که بیسروصدا از فعالیتهای کاربران اسکرینشات میگیرد و آنها را به سرورهای راه دور C2 خود منتقل میکند.
افزونه VPN مخرب کروم
با وجود اینکه سیاست حفظ حریم خصوصی آن به صراحت بیان میکند که توسعهدهنده دادههای کاربر را جمعآوری یا استفاده نمیکند، تجزیه و تحلیلها خلاف این امر را نشان می دهند. این افزونه به طور مداوم در حال نظارت بر کار کاربران است و اطلاعات حساسی مانند جزئیات بانکی، پیامهای شخصی و اسناد خصوصی را بدون رضایت یا اطلاع کاربر ضبط و ارسال میکند.
افزونه VPN مخرب کروم
تکنیکهای پیچیده استخراج
پس از نصب، یک اسکریپت محتوا از طریق تطابقهای گسترده مانیفست به هر صفحه HTTP و HTTPS تزریق میشود و پس از بارگذاری صفحه، یک ضبط خودکار با تأخیر ۱.۱ ثانیهای فعال می شود تا از رندر کامل محتوای حساس اطمینان حاصل شود.
این اسکریپت با سرویس ورکر پسزمینه ارتباط برقرار میکند که API مربوط به chrome.tabs.captureVisibleTab() را برای تولید اسکرینشات فراخوانی میکند و آنها را قبل از ارسال به aitd[.]one/brange.php با URL صفحه، شناسه تب و شناسه منحصر به فرد کاربر ترکیب میکند.
علاوه بر این، ویژگی “اسکن با تشخیص تهدید هوش مصنوعی” که به عنوان یک تحلیل محلی براساس تقاضا ارائه میشود، اسکرینشاتهای تمام صفحه را ضبط کرده و آنها را در aitd[.]one/analyze.php آپلود میکند.
افزونه VPN مخرب کروم
در هنگام راهاندازی، افزونه به وسیله ی APIها، موقعیت جغرافیایی و IP سیستم را بررسی میکند، متادیتاهای دستگاه را جمعآوری میکند و تجزیه و تحلیلهای کدگذاری شده با base64 را به aitd[.]one/bainit.php ارسال میکند.
آخرین نسخه (نسخه ۳.۱.۴) این افزونه، رمزگذاری AES-256-GCM را با الگوریتم RSA انجام میدهد، دادههای در حال انتقال را هش میکند و سیستم تشخیص مبتنی بر شبکه در ابزارهای اسکن و سپرهای امنیتی را دشوارتر میکند.
این افزونه مجوزهای بیش از حدی را طلب میکند. از جمله ی این درخواست ها <all_urls> برای دسترسی به تمام سایت، قابلیت اسکرینشات از طریق captureVisibleTab() و اسکریپتنویسی برای تزریق کد جاوا اسکریپت خود.
افزونه VPN مخرب کروم
این مجوزها امکان استخراج دادههای بسیار حساس، مانند رمزهای عبور و عکسهای شخصی را فراهم میکنند که مستقیماً با انتظارات حریم خصوصی یک ابزار VPN در تضاد است.
آنچه که در نسخههای قبلی به عنوان یک VPN مبتنی بر پروکسی آغاز شد، از طریق بهروزرسانیهای تدریجی تکامل یافت:
- در آوریل ۲۰۲۵ نسخه ۳.۰.۳ دسترسی <all_urls> را از کاربر دریافت کرد.
- در ژوئن ۲۰۲۵ نسخه ۳.۱.۱ اسکریپتهای JS را گسترش داد و تحت پوشش ابزارهای هوش مصنوعی به این افزونه اضافه شد.
- در ژوئیه ۲۰۲۵ نسخه ۳.۱.۳ نیز نظارت و مانیتورینگ کامل را فعال کرد.
- نسخه بعدی ۳.۱.۴ با تغییر به aitd.one و بهبود رمزگذاری، عملیات را بیشتر پنهان کرد.
این حادثه، آسیبپذیریهای موجود در فرآیند بررسی افزونههای کروم را برجسته میکند، جایی که اسکنهای خودکار و نظارت انسانی، علیرغم سابقه پنج ساله افزونه در ادعای یکپارچگی دادهها، نتوانستند تغییر از عملکرد بیخطر VPN به جاسوسافزار را تشخیص دهند.
این افشاگری خطرات افزونههای شخص ثالث غیرقابل اعتماد در اکوسیستمهای مرورگرها را برجسته میکند.
شرکتهایی که به چنین ابزارهایی متکی هستند، با تهدیدات فزایندهای روبرو هستند و درخواستهایی را برای پلتفرمهای نظارتی پیشرفته برای نظارت و کاهش خطرات در بازارها برانگیختهاند.
افزونه VPN مخرب کروم