اكتشاف أكثر من 100 إضافة خبيثة لمتصفح كروم تسرق الجلسات وتحقن إعلانات ضارة

كشف فريق DomainTools Intelligence (DTI) عن حملة خبيثة تستهدف مستخدمي متصفح جوجل كروم عبر أكثر من:

• 100 موقع وهمي

• 100 إضافة خبيثة على متجر كروم الإلكتروني (CWS)

تعمل هذه الإضافات تحت غطاء أدوات تبدو شرعية مثل:

• أدوات الإنتاجية

• خدمات VPN

• منصات العملات الرقمية والبنوك

• أدوات تحليل الإعلانات والوسائط

كيف تعمل هذه الإضافات الخبيثة؟

1. سرقة البيانات الحساسة:

   • بيانات الاعتماد (كلمات المرور)

   • ملفات تعريف الارتباط (Cookies)

   • اختطاف الجلسات (Session Hijacking)

2. حقن محتوى ضار:

   • إعلانات غير مرغوب فيها

   • إعادة توجيه خبيثة

   • التلاعب بحركة المرور (Traffic Manipulation)

3. تنفيذ أكواد خبيثة:

   • التواصل مع خوادم المهاجمين

   • تنزيل وتنفيذ نصوص برمجية عشوائية

   • إنشاء اتصالات WebSocket للتحكم بالحركة المرورية

خدع متطورة لتجنب الاكتشاف

• استخدام أسماء مشابهة لخدمات مشهورة مثل DeepSeek، Manus، DeBank، FortiVPN

• منح نفسها صلاحيات مفرطة عبر ملف manifest.json

• استغلال معالج الأحداث “onreset” لاختراق سياسات أمان المحتوى (CSP)

كيف يصل الضحايا إلى هذه الإضافات؟

• نتائج بحث مزيفة على جوجل ومتجر كروم

• إعلانات على فيسبوك/ميتا (حيث وجدت آثار تعقب تابعة للشركة)

• صفحات ومجموعات فيسبوك الوهمية

• هجمات التصيد الاحتيالي (Phishing)

نصائح أمنية لحماية نفسك

✔️ تحقق من المطورين قبل تثبيت أي إضافة
✔️ اقرأ الأذونات المطلوبة بعناية
✔️ افحص التقييمات والمراجعات (قد تكون مزيفة)
✔️ تجنب الإضافات المقلدة للخدمات المعروفة

الإجراءات المتخذة

قامت جوجل بإزالة هذه الإضافات الخبيثة من متجر كروم، لكن الخطر لا يزال قائماً بسبب سهولة إنشاء إضافات جديدة.