حملة DarkSpectre تخترق 8.8 مليون مستخدم عبر متصفحات شهيرة

كشفت شركة الأمن السيبراني Koi Security عن حملة اختراق ضخمة استهدفت 8.8 مليون مستخدم للمتصفحات الشهيرة عبر إضافات خبيثة تحمل اسم DarkSpectre، في عملية استمرت أكثر من سبع سنوات.

ما هي حملة DarkSpectre الخبيثة؟

تُنسب الحملة إلى جهة تهديد صينية تتبعها Koi Security تحت اسم DarkSpectre، والتي نفذت ثلاث حملات رئيسية استهدفت مستخدمي Google Chrome وMicrosoft Edge وMozilla Firefox. الحملات الثلاث هي ShadyPanda وGhostPoster وThe Zoom Stealer.

وفقاً لتيكبامين، فإن حملة ShadyPanda وحدها أثرت على 5.6 مليون مستخدم، حيث تم اكتشاف أكثر من 100 إضافة متصفح مرتبطة بهذه المجموعة الإجرامية.

كيف تعمل الإضافات الخبيثة؟

استخدمت الحملات أساليب متطورة للتخفي وتجنب الكشف. إحدى الإضافات الخبيثة على Edge تحمل اسم "New Tab - Customized Dashboard" وتحتوي على قنبلة منطقية تنتظر ثلاثة أيام قبل تفعيل سلوكها الخبيث.

الهدف من التأخير هو إعطاء انطباع بأن الإضافة شرعية خلال فترة المراجعة والحصول على الموافقة. حالياً، تسع من هذه الإضافات نشطة، بالإضافة إلى 85 إضافة "نائمة" تبدو غير ضارة وتنتظر التحديثات الخبيثة.

الأنشطة الإجرامية المنفذة

تنفذ الإضافات الخبيثة مجموعة من الأنشطة الضارة:

• سرقة البيانات الشخصية والحساسة
• اختطاف استعلامات البحث وروابط الأفلييت
• حقن أكواد تتبع خبيثة
• الاحتيال الإعلاني والنقرات الوهمية
• سرقة بيانات الاجتماعات الإلكترونية

ما هي حملة The Zoom Stealer؟

الحملة الثالثة تستهدف بيئات العمل من خلال 18 إضافة موزعة على Chrome وEdge وFirefox، حيث تركز على جمع معلومات استخباراتية عن الاجتماعات المؤسسية.

البيانات المسروقة تشمل:

• روابط الاجتماعات مع كلمات المرور المضمنة
• معرفات الاجتماعات والمواضيع والأوصاف
• الأوقات المجدولة وحالة التسجيل
• بيانات تطبيقات Google Meet وZoom وGoTo Webinar

كيف تحمي نفسك من الإضافات الخبيثة؟

لتجنب الوقوع ضحية لهذه الحملات الخبيثة، يُنصح باتباع الإجراءات التالية:

• تحميل الإضافات فقط من المطورين الموثوقين
• مراجعة التقييمات والتعليقات بدقة قبل التثبيت
• فحص الأذونات المطلوبة من الإضافات
• حذف الإضافات غير المستخدمة فوراً
• تحديث المتصفحات بانتظام

تحديث مستمر للحملات

الخطير في هذه الحملات هو صبر المهاجمين، حيث كشف تيكبامين أن بعض التحديثات الخبيثة تم إدخالها بعد أكثر من خمس سنوات من نشر الإضافة الأصلية، مما يجعل اكتشافها أكثر صعوبة.

حملة GhostPoster استهدفت بشكل رئيسي مستخدمي Firefox من خلال أدوات تبدو غير ضارة مثل VPN وأدوات خدمية، كما تم اكتشاف إضافة Google Translate خبيثة على Opera بنحو مليون عملية تثبيت.