اكتشف باحثو الأمن السيبراني 108 إضافة خبيثة في متجر جوجل كروم تسرق بيانات المستخدمين الحساسة، بما في ذلك حسابات تيليجرام، وتؤثر على 20 ألف شخص.
كيف تسرق إضافات جوجل كروم بيانات المستخدمين؟
وفقاً لخبراء الأمن الرقمي، تم العثور على شبكة معقدة تتكون من 108 إضافة تعمل على متصفح جوجل كروم. تتواصل هذه الإضافات بشكل مستمر مع نفس خادم التحكم والسيطرة (C2) بهدف جمع البيانات الشخصية.
تتيح هذه البرمجيات الخبيثة اختراق المتصفح بالكامل والتحكم في تجربة المستخدم. حيث تقوم بحقن إعلانات مزعجة وأكواد جافا سكريبت ضارة في كل صفحة ويب يزورها الضحية، مما يهدد الخصوصية بشكل خطير.
كما أكد فريق تيكبامين أهمية التحقق من هويات الناشرين قبل التثبيت في المتصفح. فقد نُشرت هذه الإضافات تحت خمس هويات مزيفة للمطورين، وقد حصدت مجتمعة حوالي 20 ألف عملية تثبيت.
أبرز الهويات المزيفة للمطورين
- حساب Yana Project.
- حساب GameGen.
- حساب SideGames.
- حساب Rodeo Games و InterAlt.
ما هي أبرز أهداف هذه الإضافات الخبيثة؟
تستهدف هذه الإضافات بشكل مباشر الحسابات الحساسة ومعلومات التصفح الخاصة بالضحايا. وتقوم بتوجيه بيانات الاعتماد والهويات المسروقة إلى خوادم يتحكم فيها نفس المشغل الخفي.
تتوزع المهام الخبيثة بين هذه الإضافات لضمان أقصى قدر من الاختراق وجمع المعلومات. وتشمل هذه العمليات سرقة الجلسات النشطة وتعديل إعدادات المتصفح الافتراضية.
يمكن تلخيص الأضرار والمخاطر التقنية في النقاط التالية:
- سرقة بيانات حسابات جوجل عبر بروتوكول OAuth2 (موجودة في 54 إضافة).
- فتح روابط خبيثة عشوائية بمجرد تشغيل المتصفح (موجودة في 45 إضافة).
- سرقة جلسات تسجيل الدخول الخاصة بتطبيق تيليجرام.
- استخدام واجهة برمجة تطبيقات كروم لتجريد المواقع من رؤوس الأمان (Security Headers).
كيف تخدع إضافات كروم المستخدمين لتحميلها؟
لإضفاء طابع الشرعية والموثوقية، تتخفى هذه الإضافات في أشكال وتطبيقات تبدو مفيدة جداً للمستخدم العادي. وتتنوع وظائفها المُعلنة للإيقاع بأكبر عدد ممكن من الضحايا عبر الإنترنت.
من أبرز الأشكال والأدوات التي تتخفى وراءها هذه البرمجيات لسرقة البيانات:
- إضافات لتحسين تجربة مشاهدة يوتيوب وتطبيق تيك توك.
- أدوات ترجمة النصوص الفورية وصفحات الويب.
- ألعاب متصفح بسيطة وتطبيقات ترفيهية.
- أدوات إدارة وتصفح تطبيق تيليجرام من الشريط الجانبي للمتصفح.
وبدون علم المستخدم النهائي، تعمل الأكواد الخبيثة بصمت تام في الخلفية لالتقاط معلومات الجلسة. كما تقوم بفتح روابط إعلانية تابعة للمهاجمين لزيادة الأرباح غير المشروعة.
ما هي الخطوات اللازمة لحماية بياناتك الرقمية؟
حتى وقت كتابة هذا التقرير، لا تزال هوية الجهة المسؤولة عن هذه الشبكة الخبيثة مجهولة تماماً. ولكن أظهر تحليل دقيق للشيفرة المصدرية وجود تعليقات مكتوبة باللغة الروسية داخل عدة إضافات.
يشير هذا الاكتشاف إلى احتمالية وقوف مجموعات اختراق منظمة وراء هذه الحملة الموجهة. وتستمر خوادمهم التي تحمل عنوان IP المشبوه في استقبال البيانات المسروقة.
لذلك، نوصي في تيكبامين بضرورة اتخاذ إجراءات استباقية وفورية لحماية خصوصيتك وحساباتك المصرفية والشخصية.
إجراءات الأمان العاجلة
- حذف وإزالة أي إضافة غير مألوفة من متصفح جوجل كروم فوراً.
- تسجيل الخروج من جميع جلسات "تيليجرام ويب" عبر إعدادات الأجهزة في التطبيق المحمول.
- تغيير كلمات المرور لحسابات جوجل المرتبطة بالمتصفح بشكل عاجل.
- تفعيل المصادقة الثنائية (2FA) لجميع حساباتك الحساسة.
- تجنب تحميل أي إضافات مستقبلية من مطورين لا يمتلكون تقييمات موثوقة ومراجعات حقيقية.
