"متصفحاتك في خطر".. إضافات شائعة تبدو بريئة وتخترق خصوصيتك
كتب : محمود الهواري
متصفح جوجل كروم
تابعنا على
كتب- محمود الهواري:
كشف باحثون في الأمن السيبراني عن مجموعة جديدة من الإضافات الخبيثة للمتصفحات مرتبطة بحملة تعرف باسم GhostPoster، بعد رصد 17 إضافة انتشرت عبر متاجر كروم وفايرفوكس وإيدج، ونجحت في جمع ما يقرب من 840 ألف عملية تثبيت.
ويشير الباحثون إلى أن هذه الإضافات، التي تبدو عادية للمستخدمين، كانت تخفي شيفرات JavaScript خبيثة داخل صور شعاراتها بهدف مراقبة نشاط المستخدمين وزرع أبواب خلفية داخل المتصفح.
وتقوم الشيفرة الخبيثة بجلب حمولة مشفرة بدرجة عالية من مصدر خارجي لتتبع سلوك التصفح، واختطاف روابط التسويق بالعمولة على منصات التجارة الإلكترونية الكبرى، إضافة إلى حقن إطارات غير مرئية تستخدم في الاحتيال الإعلاني والنقرات الوهمية، وفقا لتقرير نشره موقع "bleepingcomputer".
وأكد تقرير حديث صادر عن منصة أمن المتصفحات LayerX أن الحملة ما زالت مستمرة رغم انكشافها، مشيرا إلى أن الإضافات المكتشفة حديثا تشمل أدوات شائعة مثل الترجمة، وحظر الإعلانات، وتحميل الفيديوهات، ولقطات الشاشة.
وأظهرت البيانات أن إضافة Google Translate in Right Click سجلت أكثر من 522 ألف تثبيت. بدأت الحملة على متصفح إيدج قبل أن تمتد لاحقًا إلى فايرفوكس وكروم، وبعض هذه الإضافات كانت متاحة منذ عام 2020، ما يعكس عملية خبيثة طويلة الأمد نجحت في تفادي الرصد لفترة طويلة.
ورصدت LayerX نسخة أكثر تطورا داخل إضافة Instagram Downloader، حيث تم نقل منطق التنفيذ الخبيث إلى السكربت الخلفي للإضافة، واستخدام ملف صورة مدمج كحاوية سرية للحمولة بدلا من الاكتفاء بالأيقونة.
وتعمل الآلية الجديدة عبر فحص البيانات الخام للصورة بحثًا عن فاصل محدد، ثم استخراج الشيفرة المخفية وتخزينها محليًا قبل فك ترميزها وتشغيلها لاحقًا كشيفرة JavaScript.
و وصف الباحثون هذا الأسلوب بأنه تطور واضح نحو فترات كمون أطول ومرونة أعلى في مواجهة آليات الكشف الثابتة والسلوكية.
أكد الباحثون أن الإضافات التي جرى تحديدها أزيلت بالفعل من متجري "موزيلا" و"مايكروسوفت"، كما أزالت جوجل جميع الإضافات المعنية من متجر كروم، إلا أنهم حذروا من أن المستخدمين الذين قاموا بتثبيت هذه الإضافات سابقًا قد يظلون عرضة للخطر ما لم يقوموا بإزالتها يدويًا وفحص متصفحاتهم.
