مايكروسوفت تزيل 119 إضافة خبيثة من متجر “إيدج”

في خطوة حاسمة لحماية مستخدميها، أعلنت شركة مايكروسوفت عن إزالة 119 إضافة من متجر Edge Add-ons بعد اكتشاف حملة خبيثة واسعة النطاق عُرفت باسم StegoAd، وهي مزيج بين تقنية الإخفاء (Steganography) والبرمجيات الإعلانية (Adware). هذه الإضافات كانت تخفي شيفراتها الضارة داخل ملفات صور وخطوط عادية، لتستيقظ بعد أيام من التثبيت وتبدأ في سرقة بيانات الدخول وتنفيذ عمليات احتيال إعلاني.

خلفية الحملة الخبيثة

بدأت أنشطة هذه المجموعة منذ عام 2021، حيث اعتمدت على إضافات شائعة الاستخدام مثل أدوات حجب الإعلانات، برامج الـVPN، مترجمات النصوص، وأدوات تحميل الفيديو. ورغم أن هذه الإضافات كانت تعمل بشكل طبيعي وتحظى بتقييمات إيجابية، إلا أن الشيفرة الخبيثة بداخلها كانت في حالة سبات حتى تجتاز سلسلة من اختبارات التمويه، وهو ما سمح لها بالبقاء في المتجر لسنوات دون اكتشاف.

بلغ عدد مرات تثبيت هذه الإضافات نحو 2.6 مليون، لكن مايكروسوفت أوضحت أن هذا الرقم يمثل الحد الأقصى لعدد المستخدمين المحتملين، وليس عدد الضحايا الفعليين، إذ أن بعض الإصدارات كانت تُفعّل الشيفرة الضارة بنسبة 10% فقط من الحالات.

تقنية الإخفاء عبر الصور والخطوط

الابتكار الأساسي في هذه الحملة كان استخدام الإخفاء الرقمي لإخفاء الشيفرة التنفيذية داخل ملفات تبدو طبيعية. في البداية، أُضيفت شيفرات JavaScript بعد علامة النهاية (IEND) في صور PNG، ثم انتقل المهاجمون إلى صور WebP، وأخيرًا إلى خطوط WOFF2 حيث أُخفيت الشيفرات داخل نطاقات الحروف أو بيانات الخطوط الوصفية. هذه الأساليب جعلت عملية الكشف أكثر صعوبة، خاصة أن الصور والخطوط كانت تُعرض بشكل طبيعي دون أي خلل.

بعض الإصدارات الأكثر خطورة لم تكن تحمل الشيفرة محليًا، بل كانت تجلب صورة عادية من خادم التحكم والسيطرة (C2)، ثم تُفككها عبر طبقات من التشفير مثل Base64 وXOR قبل تشغيلها. كما أن هذه الخوادم كانت تُرسل ملفات مزيفة للباحثين الأمنيين إذا حاولوا فحصها مباشرة، مما زاد من تعقيد عملية التحليل.

الأضرار: احتيال إعلاني وسرقة بيانات

الأثر الظاهر لهذه الإضافات كان الاحتيال الإعلاني، حيث جرى حقن إعلانات مزيفة، والاستيلاء على عمولات الشركاء في مواقع مثل Amazon وeBay وAliExpress، إضافة إلى إعادة توجيه عمليات البحث. لكن الأخطر كان ما اكتشفته مايكروسوفت عند تحليل الشيفرات المسترجعة: وجود باب خلفي يسمح بتنفيذ أوامر JavaScript عن بُعد، وسرقة بيانات الدخول لحسابات جوجل ووردبريس، وكذلك استخراج ملفات تعريف الارتباط (Cookies) بكميات كبيرة لاستخدامها في الاستيلاء على الجلسات.

كما رُصدت سبعة معرفات تتبع عبر Google Analytics استُخدمت كقنوات سرية لتغذية المهاجمين ببيانات آنية عن الحملة، في استغلال مباشر لبنية جوجل نفسها.

إجراءات مايكروسوفت وتوصيات للمستخدمين

أعلنت مايكروسوفت أنها أزالت جميع الإضافات الـ119 وأوقفت أكثر من 90 حسابًا مطورًا مرتبطًا بها. ونشرت الشركة قائمة كاملة بمعرّفات هذه الإضافات في تقريرها الفني. ونصحت المستخدمين بفتح صفحة edge://extensions ومراجعة الإضافات المثبتة لديهم، وتغيير كلمات المرور لحسابات حساسة مثل جوجل ووردبريس والبنوك، مع تفعيل المصادقة الثنائية القوية باستخدام مفاتيح أمان مادية بدلًا من الرسائل النصية.

كما أشارت الشركة إلى أن هذه الحملة ليست جديدة بالكامل، بل تمثل امتدادًا لحملات سابقة مثل GhostPoster وShadyPanda، حيث استخدمت نفس الأسلوب في إخفاء الشيفرة داخل أيقونات الإضافات، بل وتشاركت بعض الأسماء مثل “Ads Block Ultimate”. ورغم أن مايكروسوفت لم تكشف هوية المهاجم، إلا أن الأدلة تشير إلى استمرار نشاطه حتى الآن.

محمد وهبى
محمد وهبى
المقالات: 1256

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.