كشفت شركة الأمن الروسية Doctor Web عن برمجية خبيثة جديدة تحمل اسم ChimeraWire، صُممت خصيصاً لرفع ترتيب بعض المواقع بشكل مصطنع في صفحات نتائج محركات البحث (SERPs). تعمل هذه البرمجية عبر تنفيذ عمليات بحث مخفية على الإنترنت وتقليد نقرات المستخدمين على أجهزة Windows المصابة، مما يمنح المواقع المستهدفة زخماً وهمياً في الترتيب.
انتشار البرمجية كحمولة ثانية
عادةً ما يتم نشر ChimeraWire كمرحلة ثانية بعد إصابة النظام ببرمجيات تنزيل خبيثة أخرى. وبمجرد تثبيتها، تقوم البرمجية بتحميل نسخة من متصفح Google Chrome لنظام Windows، ثم تضيف ملحقات مثل NopeCHA وBuster لتجاوز اختبارات CAPTCHA بشكل آلي. بعد ذلك، يتم تشغيل المتصفح في وضع التصحيح (Debug Mode) داخل نافذة مخفية، حيث تبدأ البرمجية بتنفيذ نشاط النقرات الضارة وفق معايير محددة مسبقاً.
تقليد سلوك المستخدم عبر محركات البحث
تقوم ChimeraWire بالبحث عن الموارد المستهدفة عبر محركي Google وBing، ثم تحميلها والنقر على الروابط داخلها بشكل يحاكي سلوك المستخدم الطبيعي. هذا التقليد يجعل محركات البحث تعتبر أن المواقع المستهدفة تحظى بتفاعل حقيقي، ما يؤدي إلى رفع ترتيبها في نتائج البحث.
البرمجية تنفذ جميع هذه الأنشطة داخل متصفح Chrome الذي يتم تنزيله من نطاق محدد، ثم تشغيله عبر بروتوكول WebSocket في وضع التصحيح، مما يمنحها القدرة على التحكم الكامل في عمليات النقر والتصفح دون علم المستخدم.
تداعيات أمنية وخطورة الاستغلال
هذا النوع من البرمجيات لا يقتصر على التلاعب بالترتيب في محركات البحث، بل يفتح الباب أمام استخدامات خبيثة أخرى مثل تعزيز مواقع احتيالية أو نشر محتوى مضلل. كما أن تشغيل المتصفح في وضع مخفي يتيح للمهاجمين تنفيذ أنشطة إضافية مثل جمع بيانات المستخدم أو استغلال الجهاز في حملات أكبر.
الخبراء يحذرون من أن ChimeraWire تمثل نموذجاً جديداً للهجمات التي تستغل أدوات شرعية (مثل المتصفح) لتنفيذ أنشطة غير شرعية، ما يجعل اكتشافها أكثر صعوبة ويزيد من خطورتها على المستخدمين والشركات.
