كشف باحثون في الأمن السيبراني عن شبكة تضم 152 إضافة لمتصفح جوجل كروم تعمل كخلفيات حية لعلامة التبويب الجديدة، لكنها في الواقع مرتبطة بعائلة برامج غير مرغوب فيها (PUP).
هذه الإضافات موزعة عبر 38 حسابًا مختلفًا في متجر كروم، وتدار من خلال ثلاثة نطاقات رئيسية: tabplugins[.]com، yowgames[.]com، وchromewallpaper[.]com، وقد تم تثبيتها أكثر من 105 ألف مرة.
من بين الأسماء التي ظهرت: Neymar – Football Live Wallpaper، Satoru Gojo Manga Live Wallpaper، BMW Wallpapers، وHello Kitty Wallpapers HD New Tab.
جمع البيانات وإخفاء النوايا
رغم أن كل إضافة تعلن في متجر كروم أنها لا تجمع بيانات المستخدمين، إلا أن سياسة الخصوصية المرتبطة بها تكشف العكس؛ حيث يتم تسجيل عناوين IP، مزودي الخدمة، عدد النقرات، والمُحيلين، ثم مشاركة هذه البيانات مع شركاء إعلانات مثل Google AdSense وDoubleClick.
هذا التناقض يعكس نية خفية لاستغلال المستخدمين في عمليات تتبع وربح إعلاني غير مشروع.
تقنيات التلاعب بالبحث العضوي
جزء من هذه الإضافات يحتوي على ملف js/bg.js يتضمن روابط ثابتة تُفعّل عند التثبيت أو الإزالة:
- عند التثبيت، يتم فتح رابط مزيف باستخدام معلمات UTM مثل utm_source=google&utm_medium=organic، ليبدو وكأن المستخدم وصل عبر بحث عضوي حقيقي.
- عند الإزالة، يتم استخدام إعادة توجيه عبر google.com/url لتبدو العملية وكأنها ناتجة عن نقر فعلي على نتيجة بحث.
الهدف من هذه التقنية هو تزوير إشارات حركة المرور العضوية، ما يساهم في تضليل أنظمة الإعلانات وتحقيق أرباح غير مشروعة.
قدرات إضافية خفية
إلى جانب التلاعب بحركة المرور، تحتوي الملفات على قدرة كامنة لمسح قواعد بيانات IndexedDB عند تشغيل خدمة العامل (service worker)، ما يفتح الباب أمام تدمير بيانات المستخدم أو تعطيل وظائف المواقع.
الباحثون في شركة Socket وصفوا الحملة بأنها عملية إعلانية تجارية مدفوعة بالربح، تعتمد على الاحتيال في نسب حركة المرور، مع مؤشرات ظرفية توحي بأن مصدرها قد يكون من تركيا.
