اكتشف باحثو الأمن السيبراني شبكة معقدة تضم 152 إضافة لمتصفح جوجل كروم تعمل كبرمجيات خبيثة لسرقة البيانات وتزييف الزيارات، وقد تجاوزت 105 ألف عملية تثبيت.
كيف تم اكتشاف إضافات كروم الخبيثة؟
تمكن الخبراء من رصد شبكة واسعة من الإضافات التي تقدم نفسها كخلفيات حية للشريط الجديد في المتصفح. تهدف هذه البرمجيات إلى توزيع برامج غير مرغوب فيها (PUP) على أجهزة المستخدمين دون علمهم.
وأشار تقرير حديث إلى أن هذه الشبكة المكتشفة تتوزع على 38 حساباً مختلفاً للناشرين في متجر إضافات كروم، وتعتمد على ثلاث واجهات خلفية رئيسية مرتبطة بعلامات تجارية محددة.
الواجهات الخلفية المستخدمة في الهجوم تشمل:
- موقع tabplugins[.]com
- موقع yowgames[.]com
- موقع chromewallpaper[.]com
ما هي البيانات التي تسرقها هذه الإضافات؟
تعتمد هذه الإضافات على الخداع بشكل صريح. ففي حين تزعم في صفحة المتجر أنها لا تجمع أو تستخدم بيانات المستخدم، تكشف سياسة الخصوصية الخاصة بها عن واقع مختلف تماماً وخطير.
أكد الباحثون الأمنيون أن هذه الإضافات تقوم بجمع حزمة واسعة من المعلومات الحساسة ومشاركتها مع جهات إعلانية تابعة لجهات خارجية.
أبرز البيانات التي يتم تتبعها:
- عناوين بروتوكول الإنترنت (IP).
- معلومات مزود خدمة الإنترنت (ISP).
- إحصائيات النقرات والروابط المرجعية.
- مشاركة البيانات مع شبكات إعلانية كبرى.
كيف تقوم الإضافات بتزييف زيارات جوجل؟
لا يقتصر خطر هذه البرمجيات على سرقة البيانات فحسب، بل يمتد إلى ممارسات احتيالية متقدمة. تحتوي بعض الإضافات على روابط مدمجة داخل ملفات جافا سكريبت (js/bg.js) يتم تفعيلها أثناء التثبيت وإلغاء التثبيت.
احتيال الزيارات العضوية
الهدف الأساسي من هذه العملية هو خلق إشارات وهمية لمحركات البحث. تقوم الإضافة بفتح علامات تبويب جديدة تلقائياً ووسمها بعبارة "قادم من بحث جوجل العضوي"، مما يزيف مصدر الزيارات لصالح مواقع محددة.
كما تذهب عملية إلغاء التثبيت إلى أبعد من ذلك، حيث يتم تغليف الرابط الوجهة بصيغة مطابقة تماماً لروابط جوجل الرسمية، لتبدو وكأنها نقرة بشرية حقيقية من نتائج البحث.
هل هناك مخاطر أخرى على أجهزة المستخدمين؟
تأتي ملفات جافا سكريبت الخبيثة مزودة بقدرات كامنة خطيرة. يمكن لهذه الأكواد مسح وحذف قواعد بيانات IndexedDB بمجرد بدء تشغيل الخدمة في المتصفح، مما يهدد بفقدان بيانات المواقع المحفوظة.
ووفقاً لتحليل فريق تيكبامين، تُعد هذه الحملة عملية احتيال تجاري منظمة تهدف إلى تحقيق مكاسب مالية غير مشروعة من خلال الإعلانات الوهمية وتزييف الزيارات.
وللحماية من هذه التهديدات المتزايدة، ينصح فريق تيكبامين جميع المستخدمين بضرورة مراجعة الإضافات المثبتة على متصفح جوجل كروم بشكل دوري. يجب إزالة أي إضافات غير معروفة أو تلك التي تطلب أذونات واسعة لا تتناسب مع وظيفتها الأساسية.
كما يجب التأكد من قراءة مراجعات المستخدمين والتحقق من مصداقية المطور قبل تثبيت أي إضافة جديدة، خاصة تلك المتعلقة بالخلفيات وتغيير واجهة المتصفح، حيث غالباً ما تُستخدم كغطاء لتمرير البرمجيات الخبيثة.
