إضافات إيدج الخبيثة عادت للواجهة بعد أن حذفت مايكروسوفت 119 إضافة من متجر Edge Add-ons لاستخدامها صوراً وخطوطاً لإخفاء برمجيات ضارة.
ما قصة إضافات إيدج الخبيثة التي حذفتها مايكروسوفت؟
كشفت مايكروسوفت عن عملية واسعة استمرت لسنوات داخل متجر إضافات Edge، حيث استغل المهاجمون إضافات تبدو عادية مثل مانع الإعلانات وVPN وأدوات الترجمة وتحميل الفيديو.
المشكلة أن هذه الإضافات كانت تعمل بشكل طبيعي في البداية، وتحصل حتى على تقييمات إيجابية، قبل أن تنشط شيفرتها الخفية بعد أيام من التثبيت. ووفقاً لما رصده تيكبامين، فإن هذا الأسلوب صعّب اكتشاف الهجوم مبكراً.
كم عدد المستخدمين المتأثرين؟
تقول مايكروسوفت إن عدد مرات التثبيت الإجمالي وصل إلى 2.6 مليون، لكن ذلك لا يعني أن جميع هؤلاء تعرضوا للاختراق فعلياً. بعض النسخ كانت تعتمد على شروط تنفيذ معقدة، ما خفّض عدد الضحايا الحقيقيين المحتملين.
- عدد الإضافات المحذوفة: 119 إضافة
- فترة النشاط: منذ 2021 على الأقل
- أقصى عدد تثبيتات محتمل: 2.6 مليون
- أنواع الإضافات: VPN، ترجمة، حظر إعلانات، تنزيل فيديو
كيف أخفت البرمجيات الضارة نفسها داخل الصور والخطوط؟
أطلقت مايكروسوفت على الحملة اسم StegoAd لأنها اعتمدت على تقنية إخفاء البيانات داخل ملفات تبدو سليمة تماماً. في المراحل الأولى، كان الكود الخبيث يُلحق بملفات PNG بعد نهاية الصورة، بحيث تظهر الأيقونة بشكل طبيعي ولا تثير الشك.
لاحقاً، انتقل المهاجمون إلى صور WebP ثم إلى خطوط WOFF2، مع إخفاء الشيفرة داخل نطاقات حروف أو بيانات وصفية للخط. هذا التطور جعل الفحص التقليدي أقل فعالية، خاصة في بيئة إضافات المتصفح.
لماذا كان اكتشافها صعباً؟
- تأخير التنفيذ عدة أيام بعد التثبيت
- التحقق من بيئة الجهاز والمتصفح قبل التشغيل
- تنفيذ الحمولة الخبيثة على نسبة محدودة من المستخدمين في بعض الحالات
- استخدام خادم تحكم لا يرسل الملف الحقيقي إلا بعد فحص البصمة الرقمية وUser-Agent
كما راقبت بعض الإضافات فتح أدوات المطور DevTools، وإذا لاحظت وجود محلل أو باحث أمني، فإنها تؤجل نشاطها الضار لفترة أطول لتفادي الرصد.
ما الأضرار التي سببتها إضافات إيدج الخبيثة؟
الضرر الظاهر كان في احتيال الإعلانات، إذ قامت الإضافات بحقن إعلانات إضافية، وتحويل نتائج البحث، وخطف العمولات التابعة على مواقع تسوق معروفة. هذا النوع من النشاط يحقق أرباحاً للمهاجمين على حساب تجربة المستخدم وخصوصيته.
لكن التحليل أظهر خطراً أكبر تحت السطح، إذ تضمنت بعض الحمولات باباً خلفياً لتنفيذ JavaScript عن بُعد، ما يتيح للمهاجمين إرسال أوامر جديدة وسرقة بيانات حساسة مثل كلمات المرور أو الجلسات النشطة.
- حقن إعلانات مزعجة داخل الصفحات
- إعادة توجيه نتائج البحث والزيارات
- سرقة عمولات التسويق بالعمولة
- تنفيذ أوامر عن بُعد وسرقة بيانات الاعتماد
كيف تحمي نفسك الآن من إضافات إيدج الخبيثة؟
إذا كنت تستخدم Microsoft Edge، فمن الأفضل مراجعة قائمة الإضافات المثبتة فوراً، وحذف أي إضافة غير ضرورية أو غير معروفة. كذلك يُنصح بتغيير كلمات المرور المهمة إذا لاحظت نشاطاً مريباً في الفترة الماضية.
وينصح تيكبامين أيضاً بالاعتماد على إضافات معروفة ومحدودة العدد، مع تحديث المتصفح باستمرار وعدم منح الإضافات صلاحيات واسعة دون حاجة. في النهاية، تُظهر قضية إضافات إيدج الخبيثة أن الخطر قد يختبئ خلف أدوات تبدو مفيدة وموثوقة.
