تحذير أمني: إضافة جوجل كروم خبيثة تدمر المتصفح وتسرق بياناتك

كشفت تقارير أمنية حديثة عن حملة إلكترونية خطيرة تُدعى KongTuke تستخدم إضافة جوجل كروم مزيفة لتعطيل المتصفح وزرع برمجيات التجسس في أجهزة الضحايا.

تعتمد هذه الهجمة الجديدة على تقنية تُعرف باسم CrashFix، حيث تقوم الإضافة الخبيثة باستهلاك موارد الجهاز بشكل متعمد لإجبار المستخدم على تنفيذ أوامر برمجية ضارة.

كيف تعمل إضافة NexShield المزيفة؟

بدأت القصة عندما بحث الضحايا عن أدوات لحجب الإعلانات، ليتم توجيههم إلى إضافة متوفرة في متجر كروم الرسمي تسمى "NexShield – Advanced Web Guardian". تدعي هذه الإضافة أنها توفر حماية الخصوصية وتمنع الإعلانات المزعجة، وقد تم تحميلها أكثر من 5000 مرة قبل إزالتها.

وفقاً لتحليل تيكبامين للتهديد، فإن هذه الإضافة هي نسخة مقلدة تماماً لإضافة uBlock Origin Lite الشرعية، ولكنها تحتوي على كود خبيث مصمم لخداع المستخدمين عبر الخطوات التالية:

• إظهار تنبيه أمني مزيف يدعي توقف المتصفح بشكل غير طبيعي.
• مطالبة المستخدم بإجراء "فحص" لإصلاح تهديد أمني مزعوم.
• تجميد المتصفح تماماً عبر حلقة برمجية لا نهائية تستهلك الذاكرة.

ما هي خطورة برمجية ModeloRAT التجسسية؟

الهدف الرئيسي من تجميد المتصفح هو دفع الضحية للذعر واتباع التعليمات المزيفة التي تطلب فتح نافذة الأوامر (Run) ولصق أمر برمجي تم نسخه تلقائياً للحافظة. عند تنفيذ هذا الأمر، يتم تحميل حصان طروادة جديد للوصول عن بعد يُعرف باسم ModeloRAT.

تسمح هذه البرمجية للمهاجمين بالسيطرة الكاملة على الجهاز المخترق، وغالباً ما يتم بيع الوصول لهذه الأجهزة لمجموعات الجرائم الإلكترونية الأخرى لنشر برمجيات الفدية مثل Rhysida.

كيف تحمي نفسك من إضافات المتصفح الضارة؟

ينصح فريق تيكبامين باتباع خطوات أمان صارمة عند تثبيت أي إضافة جديدة على متصفحك لضمان سلامة بياناتك:

• التحقق دائماً من اسم المطور وتاريخ الإصدار قبل التثبيت.
• قراءة المراجعات الحديثة للتأكد من عدم وجود شكاوى حول الأداء.
• عدم تنفيذ أي أوامر برمجية تطلبها نوافذ منبثقة تدعي وجود أخطاء.
• استخدام برامج مكافحة الفيروسات الموثوقة لفحص الروابط.

تستمر التهديدات السيبرانية في التطور بأساليب مخادعة، لذا يجب على المستخدمين توخي الحذر الشديد وعدم الثقة في التنبيهات التي تطلب إجراءات فورية خارج واجهة المتصفح المعتادة.