نكتب هنا في الغالب على صفحات المدونة عن مدى خطورة ملحقات المستعرض. ولتوضيح هذه الحقيقة، قررنا أن نخصص لها مقالاً. وسنلقي نظرة في هذا المنشور على الحالات الأكثر إثارة للاهتمام وغير العادية وواسعة الانتشار والخطرة التي تتضمن ملحقات ضارة في عام 2023. وسنناقش أيضًا ما تستطيع هذه الملحقات فعله — وبالطبع كيفية حماية نفسك منها.
ملحقات Roblox مع باب خلفي
للتوضيح وتسليط الضوء أيضًا على أحد أكبر المخاوف المرتبطة بالملحقات الخطيرة، دعنا لنبدأ بقصة بدأت العام الماضي. في نوفمبر 2022، تم اكتشاف ملحقين ضارين بالاسم نفسه – SearchBlox – في سوق Chrome الإلكتروني، المتجر الرسمي لملحقات مستعرض Google Chrome. وحصل أحد هذين الملحقين على أكثر من 200,000 عملية تنزيل.
كان الغرض المعلن من الملحقات هو البحث عن لاعب معين على خوادم Roblox. ومع ذلك، كان هدفهما الفعلي هو قرصنة حسابات لاعبي Roblox وسرقة أصولهم داخل اللعبة. وبعد نشر معلومات عن هذين الملحقين الضارين على BleepingComputer، تمت إزالتهما من سوق Chrome الإلكتروني، وحذفهما تلقائيًا من أجهزة المستخدمين الذين قاموا بتثبيتهما.
مع ذلك، لا تنتهي قصة Roblox عند هذا الحد، ففي أغسطس 2023، تم اكتشاف ملحقين خبيثين آخرين بطبيعة مماثلة – RoFinder وRoTracker – في سوق Chrome الإلكتروني. وعلى غرار SearchBlox تمامًا، أتاحت هذه المكونات الإضافية للمستخدمين القدرة على البحث عن لاعبين آخرين على خوادم Roblox، لكن في الواقع كان مدمجًا بها باب خلفي. وتمكن مجتمع مستخدمي Roblox في النهاية من إزالة هذه الملحقات من المتجر أيضًا.
يشير هذا إلى أن جودة الإشراف على المنصة الأكثر رسمية في العالم لتنزيل ملحقات Google Chrome ليست كما ينبغي، ومن السهل على منشئي الملحقات الخبيثة دفع منتجاتهم إلى المنصة. ولدفع المشرفين على اكتشاف الملحقات الخطيرة وإزالتها من المتجر، نادرًا ما تكون المراجعات من المستخدمين المتأثرين كافية، وغالبًا ما يتطلب الأمر جهودًا من وسائل الإعلام و/أو الباحثين الأمنيين و/أو مجتمع كبير عبر الإنترنت.
ملحقات ChatGPT وهمية لقرصنة حسابات Facebook
في مارس 2023، تم اكتشاف ملحقين خبيثين في سوق Google Chrome الإلكتروني في غضون أيام قليلة من بعضهما البعض – وكلاهما يستفيد من الضجيج المحيط بخدمة الذكاء الاصطناعي ChatGPT. وكانت إحدى الحالات عبارة عن نسخة مصابة من الملحق الشرعي “ChatGPT for Google”، الذي يوفر دمج استجابات ChatGPT في نتائج محرك البحث.
تم تحميل ملحق “ChatGPT for Google” المصاب إلى سوق Chrome الإلكتروني في 14 فبراير 2023. وانتظر منشئوه بعض الوقت ولم يبدأوا في نشره بنشاط إلا بعد شهر بالضبط، في 14 مارس 2023، باستخدام الإعلانات على بحث Google. وتمكن المجرمون من جذب حوالي ألف مستخدم جديد يوميًا، مما أدى إلى أكثر من 9000 عملية تنزيل بحلول وقت اكتشاف التهديد.
عملت النسخة المصابة بفيروس حصان طروادة من “ChatGPT for Google” تمامًا مثل النسخة الحقيقية، لكن مع وظائف خبيثة إضافية: تضمنت النسخة المصابة تعليمات برمجية إضافية مصممة لسرقة ملفات تعريف الارتباط لجلسة Facebook المخزنة بواسطة المستعرض. وباستخدام هذه الملفات، تمكن المهاجمون من الاستيلاء على حسابات Facebook الخاصة بالمستخدمين الذين قاموا بتثبيت الملحق المصاب.
يمكن بعد ذلك استخدام الحسابات المخترقة لأغراض غير قانونية. على سبيل المثال، ذكر الباحثون حساب Facebook تابعًا لشركة تصنيع منازل متنقلة، والذي بدأت في الترويج لمحتوى داعش بعد اختراقه.
في الحالة الأخرى، أنشأ المحتالون ملحقًا أصليًا تمامًا يسمى “الوصول السريع إلى Chat GPT”. وفي الواقع، نفذ الملحق بالفعل بما وعد به، حيث عمل كوسيط بين المستخدمين وChatGPT باستخدام واجهة برمجة التطبيقات الرسمية لخدمة الذكاء الاصطناعي. ومع ذلك، كان الغرض الحقيقي منه مرة أخرى هو سرقة ملفات تعريف الارتباط لجلسة Facebook، مما يسمح لمنشئي الملحق باختراق حسابات الأعمال على Facebook.
كان الأمر الأكثر إثارة للاهتمام هو أنه للترويج لهذا الملحق الخبيث، استخدم الجناة إعلانات Facebook، مدفوعة الثمن – كما خمنت – بواسطة حسابات الأعمال التي اخترقوها بالفعل! وسمح هذا المخطط الماكر لمنشئي ملحق “الوصول السريع إلى Chat GPT” بجذب بضعة آلاف من المستخدمين الجدد يوميًا. وفي النهاية، تمت إزالة كل من الملحقين الخبيثين من المتجر.
ChromeLoader: محتوى مقرصن يحتوي على ملحقات ضارة
في كثير من الأحيان، لا يلجأ منشئو الملحقات الخبيثة إلى وضعها في سوق Google Chrome الإلكتروني، ويوزعونها بطرق أخرى. على سبيل المثال، لاحظ الباحثون في وقت سابق من هذا العام حملة خبيثة جديدة تتعلق بالبرنامج الضار ChromeLoader، المعروف بالفعل في مجال الأمن الإلكتروني. ويعد الغرض الأساسي من فيروس حصان طروادة هذا هو تثبيت ملحق خبيث في المستعرض لدى الضحية.
يعرض هذا الملحق بدوره إعلانات متطفلة في المستعرض ويزيّن نتائج البحث بروابط تؤدي إلى جوائز وهمية واستطلاعات رأي ومواقع مواعدة وألعاب للبالغين وبرامج غير مرغوب فيها وما إلى ذلك.
هذا العام، استخدم المهاجمون مجموعة متنوعة من المحتوى المقرصن كطُعم لجعل الضحايا يُثبتون ChromeLoader. على سبيل المثال، في فبراير 2023، أبلغ الباحثون عن انتشار ChromeLoader من خلال ملفات VHD (تنسيق صورة قرص) متنكر في شكل ألعاب مخترقة أو “اختراقات” ألعاب. وكان من بين الألعاب التي استخدمها الموزعون Elden Ring وROBLOX وDark Souls 3 وRed Dead Redemption 2 وNeed for Speed وCall of Duty وPortal 2 وMinecraft وLegend of Zelda وPokemon وMario Kart وAnimal Crossing وغيرها. وكما قد تتخيل، تحتوي جميع ملفات VHD هذه على مثبت الملحق الخبيث.
بعد بضعة أشهر، في يونيو 2023، أصدرت مجموعة أخرى من الباحثين تقريرًا مفصلاً عن أنشطة ChromeLoader نفسه، يشرح بالتفصيل انتشاره عبر شبكة من المواقع التي تقدم الموسيقى والأفلام المقرصنة، ومرة أخرى ألعاب الكمبيوتر. وفي هذه الحملة، بدلاً من المحتوى الحقيقي، تم تنزيل ملفات VBScript على أجهزة الكمبيوتر الخاصة بالضحايا، التي قامت بعد ذلك بتحميل وتثبيت ملحق المستعرض الضار.
على الرغم من أن نتائج البحث المعدلة تنبه الضحايا بسرعة إلى وجود الملحق الخطير في المستعرض، إلا أن التخلص منه ليس بالأمر السهل. ولا يقوم ChromeLoader بتثبيت الملحق الخبيث فحسب، بل يضيف أيضًا البرامج النصية ومهام جدولة مهام Windows إلى النظام الذي يعيد تثبيت الملحق في كل مرة يتم فيها إعادة تشغيل النظام.
مخترقون يقرؤون مراسلات Gmail باستخدام ملحق تجسس
في مارس 2023، أصدر المكتب الاتحادي الألماني لحماية الدستور ووكالة الاستخبارات الوطنية في كوريا الجنوبية تقريرًا مشتركًا حول أنشطة مجموعة مجرمي الإنترنت التي تسمى Kimsuky. وتستخدم هذه المجموعة ملحقًا مصابًا للمستعرضات المستندة إلى Chromium – Google Chrome وMicrosoft Edge، بالإضافة إلى المستعرض الكوري الجنوبي Naver Whale – لقراءة مراسلات Gmail الخاصة بضحاياهم.
يبدأ الهجوم بإرسال الجناة رسائل بريد إلكتروني إلى أفراد محددين محل اهتمام. وتحتوي رسالة البريد الإلكتروني على رابط لملحق خبيث يسمى AF، بالإضافة إلى بعض النصوص التي تقنع الضحية بتثبيت الملحق. ويبدأ الملحق العمل عندما يفتح الضحية Gmail في المستعرض الذي تم تثبيته عليه. وبعد ذلك يرسل ملحق AF تلقائيًا مراسلات الضحية إلى خادم C2 الخاص بالمخترقين.
نتيجة لذلك، تتمكن مجموعة Kimsuky من الوصول إلى محتويات صندوق بريد الضحية. علاوة على ذلك، لا يحتاجون إلى اللجوء إلى أي حيل لاختراق صندوق البريد هذا؛ حيث يتجاوزون ببساطة المصادقة ثنائية العوامل. وعلى سبيل المكافأة، تتيح لهم هذه الطريقة فعل كل شيء بطريقة سرية للغاية – على وجه الخصوص، منع Google من إرسال تنبيهات إلى الضحية عن الوصول إلى الحساب من جهاز جديد أو موقع مشبوه، كما هو الحال في حالة سرقة كلمة المرور.
Rilide: ملحق خبيث يسرق العملات المشفرة ويتجاوز المصادقة ثنائية العوامل
يستخدم المجرمون غالبًا أيضًا ملحقات خبيثة لاستهداف محافظ العملات المشفرة. وعلى وجه الخصوص، يستخدم منشئو ملحق Rilide، الذي تم اكتشافه لأول مرة في أبريل 2023، الملحق لتتبع نشاط المستعرض المتعلق بالعملات المشفرة للمستخدمين المصابين. وعندما يزور الضحية مواقع من قائمة محددة، يسرق الملحق الخبيث معلومات محفظة العملات المشفرة وأسماء تسجيل الدخول للبريد الإلكتروني وكلمات المرور.
بالإضافة إلى ذلك، يجمع هذا الملحق ويرسل محفوظات المستعرض إلى خادم C2 ويتيح للمهاجمين التقاط لقطات شاشة. لكن الميزة الأكثر إثارة للاهتمام في Rilide هي قدرته على تجاوز المصادقة ثنائية العوامل.
عندما يكتشف الملحق أن مستخدمًا على وشك إجراء معاملة عملات مشفرة على إحدى الخدمات عبر الإنترنت، فإنه يحقن برنامجًا نصيًا في الصفحة التي تحل محل مربع حوار إدخال رمز التأكيد، ثم يسرق هذا الرمز. ويتم استبدال محفظة مستلم الدفع بأخرى تخص المهاجمين، وبعد ذلك، في النهاية، يؤكد الملحق المعاملة باستخدام الرمز المسروق.
يهاجم Rilide مستخدمي المستعرضات القائمة على Chromium – Chrome وEdge وBrave وOpera – من خلال محاكاة ملحق Google Drive الشرعي لتجنب الشك. ويبدو أن Rilide يُباع بحرية في السوق السوداء، لذلك يتم استخدامه من قبل مجرمين لا علاقة لهم ببعضهم البعض. ولهذا السبب، تم اكتشاف طرق توزيع مختلفة – بدءًا من مواقع الويب ورسائل البريد الإلكتروني الضارة وحتى أدوات تثبيت ألعاب قاعدة البيانات التسلسلية المصابة التي يتم الترويج لها على Twitter X.
كانت إحدى طرق توزيع Rilide المثيرة للاهتمام بشكل خاص من خلال عرض PowerPoint تقديمي مضلل. وتم تقديم هذا العرض التقديمي كدليل أمني لموظفي Zendesk، لكنه كان في الواقع دليلاً تفصيليًا لتثبيت الملحق الخبيث.
العشرات من الملحقات الخبيثة في سوق Chrome الإلكتروني – مع 87 مليون عملية تنزيل مجتمعة
بالطبع، لا يمكن للمرء أن ينسى قصة الصيف عندما اكتشف الباحثون العشرات من الملحقات الخبيثة في سوق Google Chrome الإلكتروني، والتي حصلت في مجملها على أكثر من 87 مليون عملية تنزيل من المتجر. وكانت هذه أنواعًا مختلفة من المكونات الإضافية للمستعرض – بدءًا من أدوات تحويل ملفات PDF وأدوات حظر الإعلانات إلى المترجمين والشبكات الافتراضية الخاصة (VPN).
تمت إضافة الملحقات إلى سوق Chrome الإلكتروني منذ عامي 2022 و2021، لذا بحلول وقت اكتشافها كانت موجودة بالفعل منذ عدة أشهر أو سنة أو حتى لفترة أطول. ومن بين مراجعات الملحقات، كانت هناك بعض الشكاوى من المستخدمين اليقظين الذين أفادوا بأن الملحقات كانت تضع إعلانات محل نتائج البحث. وللأسف، تجاهل مشرفو سوق Chrome الإلكتروني هذه الشكاوى. ولم يتم إزالة الملحقات الخبيثة من المتجر إلا بعد أن لفتت مجموعتان من الباحثين الأمنيين انتباه Google إلى المشكلة.
كيف تحمي نفسك من الملحقات الخبيثة
كما ترى، يمكن أن تصل ملحقات المستعرض الخطيرة إلى الكمبيوتر الخاص بك من مصادر مختلفة، بما في ذلك سوق Google Chrome الإلكتروني الرسمي. ويستطيع المهاجمون استخدامها لمجموعة واسعة من الأغراض – من سرقة الحسابات وتعديل نتائج البحث إلى قراءة المراسلات وسرقة العملات المشفرة. وفقًا لذلك، من المهم اتخاذ الاحتياطات:
- حاول تجنب تثبيت ملحقات المستعرض غير الضرورية. كلما قل عدد الملحقات الموجودة في المستعرض الخاص بك، كان ذلك أفضل.
- إذا قمت بتثبيت ملحق، فمن الأفضل تثبيته من متجر رسمي وليس من موقع ويب غير معروف. بالتأكيد، هذا لا يلغي مخاطر مصادقة الملحقات الخطيرة تمامًا، لكن على الأقل يتعامل سوق Google Chrome الإلكتروني مع أمانه على محمل الجد.
- قبل التثبيت، اقرأ مراجعات الملحق. إذا كان هناك شيء خاطئ في المراجعات، فربما يوجد شخص لاحظه بالفعل وأبلغ المستخدمين الآخرين.
- راجع قائمة الملحقات المثبتة في المستعرضات بشكل دوري. وقم بإزالة أي شيء لا تستخدمه – خاصة تلك التي لا تتذكر تثبيتها.
- وتأكد من استخدام حماية موثوقة على جميع أجهزتك.