كشف باحثون في مجال الأمن السيبراني عن حملة جديدة تستغل 108 إضافة خبيثة لمتصفح Google Chrome، جميعها مرتبطة ببنية تحتية واحدة للتحكم والسيطرة (C2)، بهدف سرقة بيانات المستخدمين وتنفيذ أنشطة ضارة على مستوى المتصفح، مثل حقن الإعلانات وتشغيل تعليمات برمجية عشوائية داخل الصفحات التي يزورها المستخدم. وقد بلغ عدد التنزيلات لهذه الإضافات نحو 20 ألف مستخدم عبر متجر كروم الإلكتروني.
هوية الناشرين وآليات الاستغلال
الإضافات منشورة تحت خمس هويات مختلفة هي: Yana Project، GameGen، SideGames، Rodeo Games، InterAlt. ورغم تنوع الأسماء والوظائف المعلنة، إلا أن جميعها تشترك في نفس البنية الخلفية الضارة. وفقاً للباحث الأمني Kush Pandya، فإن هذه الإضافات تقوم بتحويل بيانات الاعتماد المسروقة وهويات المستخدمين وسجلات التصفح إلى خوادم يديرها نفس المهاجم.
من بين هذه الإضافات، هناك 54 إضافة تستهدف هوية حسابات غوغل عبر بروتوكول OAuth2، و45 إضافة تحتوي على باب خلفي عالمي يفتح روابط عشوائية بمجرد تشغيل المتصفح، بينما تنفذ الإضافات الأخرى سلوكيات خبيثة متنوعة مثل:
- سرقة جلسات Telegram Web كل 15 ثانية.
- إزالة رؤوس الحماية الأمنية من مواقع مثل YouTube وTikTok وحقن إعلانات وألعاب قمار.
- حقن نصوص برمجية في كل صفحة يزورها المستخدم.
- تمرير طلبات الترجمة عبر خادم المهاجم للتحكم في البيانات.
أمثلة على الإضافات الخبيثة
من بين الإضافات التي تم تحديدها:
- Telegram Multi-account: تستخرج رمز المصادقة المستخدم في Telegram Web وترسله إلى خادم خارجي، كما يمكنها استبدال بيانات الجلسة المحلية بجلسة يحددها المهاجم.
- Web Client for Telegram – Teleside: تزيل رؤوس الحماية من Telegram وتحقن نصوصاً لسرقة الجلسات.
- Formula Rush Racing Game: تسرق هوية حساب جوجل عند أول محاولة تسجيل دخول، بما في ذلك البريد الإلكتروني والاسم الكامل وصورة الملف الشخصي.
خلفيات الحملة ومؤشرات التهديد
أوضحت شركة Socket أن خمس إضافات تستخدم واجهة declarativeNetRequest API لإزالة رؤوس الحماية قبل تحميل الصفحة، مؤكدة أن جميع الإضافات الـ108 تتصل بنفس الخادم الضار على العنوان 144.126.135[.]238. ورغم عدم معرفة الجهة المسؤولة عن هذه الحملة حتى الآن، إلا أن تحليل الشيفرة المصدرية كشف عن وجود تعليقات مكتوبة باللغة الروسية، ما قد يشير إلى هوية المهاجمين أو مصدر تطوير الإضافات.
توصيات للمستخدمين
ينصح الخبراء جميع المستخدمين الذين قاموا بتثبيت أي من هذه الإضافات بإزالتها فوراً، وتسجيل الخروج من جميع جلسات Telegram Web عبر تطبيق الهاتف المحمول، وذلك لتقليل احتمالية الاستغلال المستمر. كما يُوصى بتوخي الحذر عند تثبيت إضافات جديدة من متجر كروم، خاصة تلك التي تقدم وظائف غير ضرورية أو تبدو مشبوهة في طبيعتها.
