كشف باحثون في مجال الأمن السيبراني عن تقنية جديدة تسمح لإضافة متصفح ضارة بانتحال صفة أي إضافة مثبتة على المتصفح. وتُعرف هذه التقنية باسم الهجوم متعدد الأشكال (Polymorphic Attack)، حيث تقوم الإضافة الضارة بإنشاء نسخة طبق الأصل من أيقونة الإضافة المستهدفة ونوافذها الـHTML وتدفقات عملها، بل وتعطيل الإضافة الشرعية مؤقتًا، مما يجعل الضحايا يعتقدون أنهم يقدمون بيانات الاعتماد الخاصة بهم إلى الإضافة الحقيقية.
وقالت شركة SquareX في تقرير نُشر الأسبوع الماضي: “إن الإضافات متعددة الأشكال تخلق نسخة مثالية من أيقونة الإضافة المستهدفة، وتقوم بتعطيل الإضافة الشرعية مؤقتًا، مما يجعل الضحايا يثقون بأنهم يتفاعلون مع الإضافة الأصلية”.
كيف يعمل الهجوم؟
تعتمد هذه التقنية على حقيقة أن المستخدمين عادةً ما يثبتون الإضافات في شريط أدوات المتصفح. في سيناريو هجوم افتراضي، يمكن للمهاجمين نشر إضافة متعددة الأشكال على متجر Chrome Web Store (أو أي سوق للإضافات) وإخفائها كأداة مساعدة.
على الرغم من أن الإضافة توفر الوظيفة المعلن عنها لتجنب إثارة الشكوك، فإنها تنشط الميزات الضارة في الخلفية عن طريق مسح موارد الويب المرتبطة بإضافات مستهدفة محددة باستخدام تقنية تسمى ضرب موارد الويب (Web Resource Hitting).
بمجرد تحديد الإضافة المستهدفة، ينتقل الهجوم إلى المرحلة التالية، حيث تتحول الإضافة الضارة إلى نسخة طبق الأصل من الإضافة الشرعية. يتم ذلك عن طريق تغيير أيقونة الإضافة الضارة لتطابق أيقونة الإضافة المستهدفة وتعطيل الإضافة الشرعية مؤقتًا باستخدام واجهة برمجة التطبيقات chrome.management، مما يؤدي إلى إزالتها من شريط الأدوات.
لماذا يعتبر هذا الهجوم خطيرًا؟
قالت SquareX: “هجوم الإضافة متعددة الأشكال قوي للغاية لأنه يستغل ميل البشر إلى الاعتماد على الإشارات البصرية كتأكيد. في هذه الحالة، يتم استخدام أيقونات الإضافات في الشريط المثبت لإعلام المستخدمين بالأدوات التي يتفاعلون معها”.
هجمات أخرى مرتبطة
جاء هذا الكشف بعد شهر واحد من إعلان الشركة عن طريقة هجوم أخرى تُعرف باسم Browser Syncjacking، والتي تتيح السيطرة على جهاز الضحية من خلال إضافة متصفح تبدو غير ضارة.
