كشف باحثون في الأمن السيبراني عن حملتين جديدتين تستخدمان إعلانات خبيثة ومواقع مزيفة لتوزيع إضافات متصفح مزيّفة مصممة لسرقة البيانات الحساسة من المستخدمين.
وقالت شركة Bitdefender إن حملة Malvertising الأخيرة تروّج لإضافة متصفح وهمية تحمل اسم SocialMetrics Pro وتزعم أنها تتيح الحصول على العلامة الزرقاء “Meta Verified” لحسابات فيسبوك وإنستغرام. وقد رُصد ما لا يقل عن 37 إعلاناً خبيثاً يروّج لهذه الإضافة.
SocialMetrics Pro: التحقق الأزرق كطُعم خبيث
ترافق الإعلانات الخبيثة مقطع فيديو إرشادي يوجّه الضحايا إلى تحميل وتثبيت الإضافة المزعومة، التي تدّعي تمكين ميزات خاصة على فيسبوك. غير أن الحقيقة أن الإضافة – المستضافة على خدمة سحابية شرعية هي Box – قادرة على سرقة ملفات تعريف الارتباط (Cookies) من فيسبوك وإرسالها إلى بوت على تطبيق Telegram تديره الجهة المهاجمة، إلى جانب جمع عناوين بروتوكول الإنترنت (IP).
وقد رُصدت بعض النسخ من الإضافة الخبيثة وهي تستخدم بيانات الجلسات المسروقة للتفاعل مع Facebook Graph API بهدف جلب مزيد من المعلومات حول الحسابات، في تكتيك مشابه لهجمات برمجيات سابقة مثل NodeStealer. ويستغل المهاجمون هذه البيانات إما لبيع حسابات Facebook Business وAds في منتديات سرية، أو لاستخدامها في حملات Malvertising جديدة، مما يخلق دائرة متكررة من الاختراقات.
بصمات فاعلين ناطقين بالفيتنامية
أوضحت Bitdefender أن الحملة تحمل علامات واضحة مرتبطة بجهات تهديد ناطقة بالفيتنامية، سواء عبر اللغة المستخدمة في التعليقات على الأكواد أو من خلال التسجيلات الصوتية في الفيديوهات الإرشادية. واعتبرت أن المهاجمين يعملون وفق نموذج صناعي لإنتاج حملات Malvertising على نطاق واسع، بدءاً من الصور والمواد الإعلانية وصولاً إلى الفيديوهات التعليمية.
Madgicx Plus: أداة إعلانية وهمية لاختراق الحسابات
بالتوازي مع ذلك، رصدت شركة Cybereason حملة أخرى تستهدف معلني Meta عبر امتدادات Chrome خبيثة يتم توزيعها من خلال مواقع مزيفة تنتحل صفة منصات لتحسين الإعلانات بالذكاء الاصطناعي. وتتمحور هذه الحملة حول منصة وهمية تُسمى Madgicx Plus، يتم الترويج لها كأداة لإدارة الحملات الإعلانية وتعزيز العائد الاستثماري، بينما هي في الواقع مجهّزة بقدرات خبيثة تمكّن من سرقة بيانات الاعتماد والسيطرة على حسابات Meta Business.
تشمل الامتدادات التي تم رصدها على متجر Chrome Web Store ما يلي:
-
Madgicx Plus – The SuperApp for Meta Advertisers (منشور فبراير 2025، 28 عملية تنزيل)
-
Meta Ads SuperTool (منشور مارس 2025، 11 عملية تنزيل)
-
Madgicx X Ads – The SuperApp for Meta Advertisers (منشور مارس 2025، 3 عمليات تنزيل)
وبمجرد التثبيت، يحصل الامتداد على وصول كامل إلى جميع المواقع التي يزورها المستخدم، ما يتيح للمهاجمين حقن شفرات برمجية، اعتراض حركة المرور، مراقبة النشاط على المتصفح، تسجيل المدخلات في النماذج، وسرقة البيانات الحساسة. كما يطلب الامتداد من المستخدمين ربط حساباتهم في فيسبوك وغوغل للوصول إلى الخدمة، بينما يتم سرقة بيانات الهوية في الخلفية.
وأكدت Cybereason أن هذا النهج المرحلي يعكس استراتيجية واضحة لدى المهاجمين: البدء بسرقة بيانات هوية غوغل، ثم الانتقال إلى فيسبوك لتوسيع نطاق السيطرة وزيادة احتمالية اختراق الحسابات الإعلانية القيّمة.
