وقال الباحثان الأمنيان لوتان سيري ونوعا جولدمان: “ما تقدمه هذه الإضافات في الواقع هو حمولة برمجية خبيثة متعددة المراحل تراقب كل ما تتصفحه، وتزيل حماية متصفحك الأمنية، وتفتح بابًا خلفيًا لتنفيذ التعليمات البرمجية عن بُعد”.
لم تعد الإضافات المذكورة متاحة للتنزيل، وكانت تُعلن عن نفسها كبرامج “في بي إن” مجانية وأدوات لالتقاط الشاشة وحاجبات إعلانات وإصدارات غير رسمية من مترجم جوجل.
كيف تنشط الشفرة الخبيثة؟
تبدأ سلسلة الهجوم عند تحميل أي من الإضافات، حيث يتم جلب ملف الشعار الذي يحتوي على الشفرة الضارة. تبحث الشفرة عن علامة تحتوي على إشارة “===” لاستخراج كود جافا سكريبت محمل (لودر)، يتصل بعد ذلك بخادم خارجي مثل “liveupdt[.]com” أو “dealctr[.]com” لاسترداد الحمولة الرئيسية، مع انتظار 48 ساعة بين كل محاولة.
ولتجنب الكشف، تم ضبط المحمل ليقوم بجلب الحمولة الرئيسية فقط في 10% من المرات. ويؤدي هذا العشوائية إلى إعاقة جهود مراقبة حركة مرور الشبكة.
أدوات متطورة لتحقيق أرباح غير مشروعة
الحمولة التي يتم جلبها هي مجموعة أدوات شاملة مشفرة بشكل مخصص، قادرة على تحقيق الربح من أنشطة التصفح دون علم الضحايا، من خلال خمس طرق رئيسية:
-
اختطاف روابط التسويق بالعمولة: اعتراض الروابط التابعة لمواقع التجارة الإلكترونية مثل “تاو باو” أو “جي دي.كوم”، مما يحرم الشركاء الشرعيين من عمولاتهم.
-
حقن شفرات التتبع: إدخال شفرة تتبع “جوجل أناليتكس” في كل صفحة ويب يزورها الضحية، لإنشاء ملف تعريف سري لها.
-
إزالة رؤوس الأمان الأمنية:إزالة رؤوس الحماية مثل Content-Security-Policy و X-Frame-Options من استجابات HTTP، مما يعرض المستخدمين لهجمات اختطاف النقرات والنصوص البرمجية عبر المواقع (XSS).
-
حقن إطارات غير مرئية: حقن إطارات iframe مخفية في الصفحات لتحميل عناوين URL من الخوادم التي يتحكم فيها المهاجم، وتمكين الاحتيال في الإعلانات والنقرات.
-
تجاوز اختبارات CAPTCHA: استخدام طرق مختلفة لتجاوز اختبارات “الكابتشا” والتحايل على ضوابط كشف البرامج الآلية. أوضح الباحثون أن بعض عمليات البرنامج الضار، مثل حقن الإطارات المخفية، تؤدي إلى تشغيل كشف البرامج الآلية، وبالتالي يحتاج إلى إثبات أنه “بشري” لمواصلة العمل.
حملة منسقة لتهريب البرمجيات الخبيثة
من الجدير بالذكر أن ليس جميع الإضافات تستخدم نفس سلسلة الهجوم القائمة على إخفاء المعلومات (Steganography)، لكن جميعها تظهر نفس السلوك وتتواصل مع نفس البنية التحتية للأوامر والتحكم (C2)، مما يشير إلى أنها من عمل جهة تهديد واحدة أو مجموعة واحدة، اختبرت طُعمًا وأساليب مختلفة.
وتأتي هذه الاكتشافات بعد أيام فقط من ضبط إضافة “في بي إن” شهيرة لمتصفحي “جوجل كروم” و”مايكروسوفت إيدج” وهي تجمع محادثات الذكاء الاصطناعي سرًا من “شات جي بي تي” و”كلود” و”جيميني” وترسلها إلى وسطاء البيانات. وفي أغسطس 2025، لوحظت إضافة أخرى لكروم باسم “FreeVPN.One” تجمع لقطات الشاشة ومعلومات النظام ومواقع المستخدمين.
