تنبيه بشأن حملة إضافات خبيثة في متصفحات Chrome وFirefox وEdge

  • يقوم برنامج GhostPoster بتوزيع إضافات خبيثة في متصفحات Chrome و Firefox و Edge مع أكثر من 840.000 عملية تثبيت.
  • يتم إخفاء الشفرة الخبيثة باستخدام تقنية إخفاء المعلومات في صور PNG المستخدمة كأيقونات إضافية.
  • تتجسس هذه الإضافات على نشاط المستخدم، وتسرق البيانات، ويمكنها فتح أبواب خلفية للتحكم عن بعد.
  • مجموعة Darkspectre هي المسؤولة عن GhostPoster والحملات السابقة مثل ShadyPanda و The Zoom Stealer.
Alberto Navarro

11 دقيقة

ملحقات المتصفح الخبيثة

أصبحت إضافات المتصفح أداة يومية لملايين المستخدمين الذين يرغبون في حسّن تجربتك في متصفحات Chrome أو Firefox أو Edge.تُستخدم هذه الإضافات لترجمة صفحات الويب، وحجب الإعلانات، وإدارة كلمات المرور، وتسريع التصفح، وعادةً ما يتم تثبيتها ببضع نقرات فقط من متاجر التطبيقات الرسمية. وبسبب هذه السهولة تحديدًا، لا يتحقق الكثيرون من هوية مطوري كل إضافة أو الأذونات التي تطلبها.

يُتيح هذا الإغفال الفرصة للمجرمين الإلكترونيين لاستخدام الامتدادات كـ قناة صامتة للتجسس وسرقة البياناتلقد أوضحت حملة حديثة، أطلق عليها اسم GhostPoster، مدى خطورة هذا الأسلوب: حيث تتكامل الإضافات الاحتيالية كما لو كانت شرعية، وتعمل بشكل طبيعي ظاهريًا، ويمكن أن تظل نشطة لسنوات دون إثارة الشكوك أثناء مراقبة نشاط المستخدم.

ما هي حملة GhostPoster ولماذا هي مثيرة للقلق؟

حملة برمجيات خبيثة في الإضافات

تحقيقات أجرتها العديد من شركات الأمن السيبراني، بما في ذلك KOI و LayerXلقد كشفوا عن عملية واسعة النطاق تستغل متاجر الإضافات الرسمية لمتصفحات موزيلا فايرفوكس وجوجل كروم ومايكروسوفت إيدج. وفي إطار حملة GhostPoster، تم تحديد عشرات الإضافات التي، عند جمعها معًا، يتجاوز عدد عمليات التثبيت 840.000 ألف عملية على مستوى العالم، وهو رقم يعطي فكرة عن حجم المشكلة.

هذه الإضافات الخبيثة تتنكر في هيئة أدوات يومية: برامج ترجمة الصفحات، وبرامج حجب الإعلانات، وما يسمى بشبكات VPN أو أدوات لإدارة التنزيلات. بمجرد تثبيتها، تعمل هذه الأدوات في الخلفية، وتراقب ما يفعله المستخدم في المتصفح، وتصل إلى بيانات التصفح، وفي بعض الحالات، تُمكّن من أبواب خلفية تسمح بالتحكم عن بعد في المعدات.

الأمر المقلق بشكل خاص هو أن العديد من هذه الإضافات متوفرة منذ فترة طويلة في الكتالوجات الرسمية، مما يعني أن لقد اجتازت هذه المنتجات فلاتر المراجعة الخاصة بمتجر Chrome الإلكتروني، وإضافات Firefox، ومتجر Edge.ووفقاً للتحليلات التي تم نشرها، فإن بعضها يعمل منذ عام 2020، مما سمح للحملة بالبقاء نشطة بطريقة مستدامة ودون اضطرابات كبيرة.

وقد حدد الخبراء أيضًا ضمن GhostPoster نوع أكثر تطوراً ومراوغة وقد حقق هذا الفرع وحده أكثر من 3.800 عملية تثبيت. يتميز هذا الفرع بقدرته على التهرب من الرقابة والاندماج مع الإضافات التي تبدو شرعية، مما يجعل من الصعب على المستخدمين إدراك وجود خلل ما.

كيف تعمل الإضافات الخبيثة التي تقف وراء GhostPoster

GhostPoster في متصفحات Chrome و Firefox و Edge

تتكامل إضافات المتصفح، سواءً لمتصفح كروم أو فايرفوكس أو إيدج، بشكل عميق مع البرنامج ويمكنها قراءة وتعديل محتوى صفحات الويبيشمل ذلك الوصول إلى ملفات تعريف الارتباط وسجل التصفح، وفي بعض الحالات، التفاعل مع نظام التشغيل. عندما يكون الملحق مصممًا جيدًا، فإن كل هذا يخدم توفير وظائف مفيدة؛ أما عندما يكون خبيثًا، فإن هذا الوصول نفسه يصبح سلاحًا دقيقًا للمهاجمين.

في حالة GhostPoster، يكمن السر في إخفاء العنصر الضار بعناية. وتشير التحقيقات إلى أن المسؤولين عن الحملة هم إنهم يخفون جزءًا من كود جافا سكريبت داخل صورة PNG لأيقونة الإضافة.تسمح هذه التقنية، المعروفة باسم إخفاء المعلومات، بإخفاء المعلومات في ملفات تبدو غير ضارة، بحيث لا يُرى في النظرة الأولى سوى شعار عادي، ولكن بداخله يوجد الكود الذي سيتم تنفيذه لاحقًا.

يتم تفعيل هذا الرمز المخفي بمجرد تثبيت الإضافة، وهو المسؤول عن التجسس على نشاط المستخدم في الوقت الفعلييمكنه تسجيل الصفحات التي تتم زيارتها، والنماذج التي يتم ملؤها، والخدمات المستخدمة، بالإضافة إلى اعتراض المعلومات الحساسة مثل بيانات الاعتماد أو رموز الجلسة. وفي بعض الحالات، يقوم أيضًا بتنزيل وحدات إضافية تؤدي في النهاية إلى... افتح ثغرة أمنية في الجهاز المتأثرمما يمنح المهاجمين القدرة على الاتصال عن بعد.

باستخدام تقنية إخفاء المعلومات، يجعل مجرمو الإنترنت المكون الخبيث يمر دون أن يلاحظه أحد نسبياً أثناء المراجعات الآلية لمتاجر الإضافات. تقوم أنظمة التحليل عادةً بمراجعة التعليمات البرمجية المرئية والسلوك المعلن.مع ذلك، قد لا يكتشفون أن جوهر الهجوم الحقيقي يكمن في صورة بسيطة. هذا الأسلوب يزيد من صعوبة مهمة المنصات في الحد من انتشار الإضافات الاحتيالية.

علاوة على ذلك، تحاكي الإضافات المرتبطة بـ GhostPoster وظائف الأدوات الشرعية التي تدّعي أنها تشبهها بدقة. فهي توفر، على سبيل المثال، ترجمة الصفحات أو حجب الإعلانات الأساسي، مما يعزز الشعور بالوضع الطبيعي. طالما يعتقد المستخدم أنه يستخدم إضافة مفيدة، في الخلفية، يتم توليد تدفق مستمر من المعلومات باتجاه الخوادم التي يتحكم بها المهاجم..

دور KOI و LayerX في اكتشاف الحملة

لم تحدث فضيحة GhostPoster بين عشية وضحاها. خلال شهر ديسمبر، قام محللون من شركة الأمن KOI رصدوا مجموعة أولية من 17 إضافة خبيثة نُشرت في متجر موزيلا فايرفوكس الرسمي. استهدفت جميعها المستخدمين الذين يبحثون عن أدوات مساعدة شائعة، وبلغ مجموع عمليات تنزيلها أكثر من 50.000 ألف عملية.

بعد ذلك بوقت قصير، واصلت شركة الأمن السيبراني LayerX التحقيق وحددت الموقع حزمة أخرى تضم 17 إضافة مماثلة تم توزيعها عبر كتالوجات مايكروسوفت إيدج وجوجل كروم. مع هذه الاكتشافات الجديدة، ارتفع إجمالي عدد عمليات التثبيت المرتبطة ببرنامج GhostPoster إلى أكثر من 840.000 عملية تثبيت عبر المتصفحات الثلاثة، مما يجعلها حملة ذات تأثير عالمي كبير.

وتفصّل التقارير المنشورة ذلك جميع هذه الامتدادات تشترك في أنماط سلوكية وهياكل تقنية متشابهة للغاية، مما أدى إلى استنتاج أنها كانت جزءًا من نفس المخطط المنسق. ومن بين الأهداف المحددة مراقبة الملاحة في الوقت الفعلي، وجمع البيانات بكميات هائلة، وإدخال ثغرات أمنية خفية في المعدات.

خلال التحليل، أكدت كل من KOI وLayerX أن عملية GhostPoster ليست حادثة معزولة، بل هي مثال على استراتيجية استمرت لعدة سنوات لاستغلال منظومة التوسعة. ويؤكد الباحثون أن الجمع بين حجم كبير من عمليات التثبيت والكشف المتأخر قد سمح للمهاجمين بمواصلة حملاتهم النشطة مع مساحة واسعة للمناورة.

بحسب الخبراء، يواجه مصنّعو المتصفحات أنفسهم مهمة معقدة: الكشف عن الأدوات الخبيثة التي تحاكي الخدمات الشائعةعلى الرغم من وجود ضوابط آلية وعمليات مراجعة، إلا أن التجربة تُظهر أنها ليست كافية دائمًا لإيقاف الإضافات التي تعتمد أساليب إخفاء متقدمة مثل تلك التي شوهدت في GhostPoster.

من يقف وراء ذلك: مجموعة دارك سبيكتر وحملاتها السابقة

تشير التحقيقات إلى جهة فاعلة معروفة في مجال الأمن السيبراني: الطيف المظلمتستخدم هذه المجموعة إضافات المتصفح لتوزيع البرامج الضارة منذ سنوات، ويُنسب إليها الفضل في عمليات سابقة مثل ShadyPanda وThe Zoom Stealer، والتي تتشارك الموارد التقنية والبنية التحتية مع GhostPoster.

وفقًا للبيانات التي تم جمعها، فإن منظمة دارك سبكتر تعمل على تحسين تكتيكاتها بمرور الوقت. أظهرت الحملات السابقة اهتماماً خاصاً بالتسلل عبر قنوات تبدو جديرة بالثقة.مثل متاجر الإكسسوارات الرسمية. وبهذا المعنى، ستكون GhostPoster تطوراً لخط عمل يسعى إلى تحقيق أقصى قدر من الانتشار دون إثارة مخاوف فورية.

توضح شركة LayerX أن تتبع البنية التحتية المستخدمة في برامج GhostPoster وShadyPanda وThe Zoom Stealer قد سمح لتوثيق التطور التقني لهذه التهديداتلاحظ الباحثون كيف يتم إعادة استخدام النطاقات والخوادم وأجزاء التعليمات البرمجية في هجمات مختلفة، وتكييف الأدوات مع التدابير الأمنية التي تنفذها المنصات.

أحد العناصر التي تُقلق شركات الأمن بشدة هو أن تشير التقارير إلى أن بعض الإضافات المرتبطة ببرنامج Darkspectre ظلت نشطة منذ عام 2020. دون أن يتم اكتشافها. يُبرز هذا الإصرار مدى براعة المهاجمين وحدود أنظمة المراجعة الآلية، التي لا تستطيع دائمًا تحديد الأنماط الخبيثة عندما تكون مخفية في مكونات غير مألوفة، مثل الرموز الرسومية.

وتشير التقارير أيضاً إلى أنه من وجهة نظر تشغيلية، يعتمد GhostPoster على تقنيات مراوغة متطورة للغايةتشمل هذه التدابير تأخير تحميل المكونات، والتفعيل فقط في ظل ظروف ملاحية محددة، واستخدام اتصالات سرية مع خوادم القيادة والتحكم. كل هذه الإجراءات تساهم في تقليل التشويش والبقاء بعيدًا عن الرادار لأطول فترة ممكنة.

الإضافات، وهي وسيلة هجوم شائعة بشكل متزايد

وبعيدًا عن موقع GhostPoster، حذر الخبراء منذ فترة طويلة من أن الإضافات هدف متكرر للمجرمين الإلكترونيينإن شعبيتها والثقة التي تولدها من خلال كونها مزعومة أنها تأتي من متاجر رسمية تجعلها قناة مثالية لتسلل البرامج الضارة دون أن يشك المستخدم في أي شيء.

في كثير من الحالات، يقوم الضحايا بتنزيل هذه الإضافات لأن يعدون بميزات جذابة ومجانيةتساعدك هذه الإضافات على: إزالة الإعلانات المتطفلة، وتحسين الخصوصية، وتسريع متصفحك، أو أتمتة المهام المتكررة. لكن المشكلة تكمن في أنه بمجرد منح الأذونات، تستطيع الإضافة الوصول إلى كمية كبيرة من المعلومات دون الحاجة إلى طلب إذن جديد.

تُظهر حملات مثل حملة GhostPoster أنه حتى عندما يفي الملحق ببعض وعوده، قد يقومون بأنشطة سريةبمعنى آخر، يمكن للملحق حظر الإعلانات أو ترجمة الصفحات بشكل طبيعي، ولكنه في الوقت نفسه يجمع بيانات التصفح، ويعترض بيانات الاعتماد، أو يتواصل مع خوادم خارجية لتنزيل تعليمات جديدة.

إن استخدام تقنيات مثل إخفاء المعلومات في الصور أو تنفيذ التعليمات البرمجية المبهمة يعيق مهمة التحليل بشكل كبير. تميل أنظمة الأمان التقليدية إلى البحث عن أنماط معروفةلكن عندما يختبئ الكود الخبيث في ملفات رسومية أو يتم توزيعه في أجزاء صغيرة بين مكونات مختلفة، يصبح تحديد هويته أكثر تعقيدًا.

يجبر هذا السيناريو مطوري المتصفحات ومتاجر الإضافات على حد سواء على تعزيز آليات التحققيشير الخبراء إلى أنه سيكون من الضروري الجمع بين التحليل الآلي المتعمق وعمليات التدقيق اليدوية ومراقبة أكبر للسلوك الفعلي للإضافات بمجرد نشرها، وخاصة تلك التي تحقق عددًا كبيرًا من عمليات التثبيت في وقت قصير.

التأثير على المستخدمين في أوروبا والتوصيات الأساسية

تتمتع حملة GhostPoster بانتشار عالمي، ولكن ويؤثر ذلك أيضاً على المستخدمين في إسبانيا وبقية أوروبافي المملكة المتحدة، تُشكّل متصفحات كروم وفايرفوكس وإيدج غالبية استخدام المتصفحات في المنازل وبيئات العمل. وقد يكون أي شخص قام بتثبيت إضافات الترجمة أو مانعات الإعلانات أو الشبكات الافتراضية الخاصة (VPN) في السنوات الأخيرة قد تعرّض للخطر إذا كانت هذه الإضافات مدرجة في قائمة البرامج الضارة.

تستخدم السلطات الأوروبية وفرق الاستجابة تقارير من شركات مثل KOI وLayerX كمرجع لـ قم بتحديث تنبيهاتك و معايير أمان الكمبيوترالتوصية العامة هي مراجعة الإضافات المثبتة دوريًا وإزالة تلك التي لم تعد مستخدمة أو التي يكون مصدرها غير واضح. من الشائع تراكم إضافات استُخدمت مرة واحدة ثم نُسيت، ولكنها لا تزال قادرة على الوصول إلى المتصفح.

لتقليل المخاطر، ينصح المتخصصون إعطاء الأولوية للإضافات التي طورتها جهات معترف بهاتحقق من التقييمات وعدد المستخدمين، واحذر من الحلول التي تعد بالكثير من الميزات في حزمة واحدة. يُنصح أيضًا بمراجعة الأذونات المطلوبة قبل التثبيت، خاصةً عندما يطلب أحد الإضافات الوصول الكامل إلى جميع بيانات التصفح دون أن يبدو ذلك ضروريًا للغاية.

في قطاع الأعمال، حيث ينطوي التصفح في كثير من الأحيان على الوصول إلى معلومات حساسة وخدمات داخلية، تقوم المنظمات الأوروبية بتضمين سياسات محددة لـ التحكم في الامتدادات التي يمكن استخدامها على أجهزة الكمبيوتر الخاصة بالشركةوتشمل التدابير الشائعة إنشاء قوائم بيضاء للإضافات المسموح بها، والمراقبة المركزية، واستخدام حلول أمنية قادرة على مراقبة نشاط المتصفح.

بالنسبة للمستخدمين الأفراد الذين يشتبهون في تثبيتهم إضافة قد تكون ضارة، ينصح الخبراء قم بإزالة الإضافة، وقم بإجراء فحص باستخدام برنامج مكافحة فيروسات موثوق. وإذا استمرت الشكوك، فاستشر متخصصًا في الأمن السيبراني. في حملات معقدة مثل حملة GhostPoster، قد لا يكون مجرد إزالة البرامج الضارة كافيًا إذا تم تثبيت برامج ضارة أخرى على النظام.

تُسلط قضية GhostPoster الضوء على مدى... قد يكون الاعتماد الأعمى على متاجر التمديدات الرسمية أمراً محفوفاً بالمخاطر.على الرغم من أنها لا تزال القناة الأكثر أمانًا ضد التنزيلات من مواقع الويب المجهولة، إلا أن التجربة تُظهر أنها ليست مضمونة تمامًا، وأن المهاجمين يعرفون كيفية التكيف مع ضوابطها. وسيكون الجمع بين الاستخدام الأكثر وعيًا من قِبل المستخدمين، وعمليات المراجعة الأكثر دقة، والمراقبة المستمرة من قِبل شركات الأمن، أمرًا أساسيًا للحد من حملات مماثلة في المستقبل.

هجوم إلكتروني ضخم على متصفحي Chrome و Edge
المادة ذات الصلة:
تنبيه لهجوم إلكتروني ضخم عبر إضافات في متصفحي Chrome و Edge