تمكّن باحثون في مجال الأمن السيبراني من كشف حملة جديدة استهدفت مستخدمي متصفح جوجل كروم، حيث تم العثور على 108 إضافة خبيثة تتصل بنفس خوادم التحكم والسيطرة (C2). الهدف من هذه الإضافات هو جمع بيانات المستخدمين واستغلال المتصفح، من خلال حقن إعلانات وأكواد JavaScript ضارة داخل الصفحات التي يزورها المستخدم.
وبحسب شركة Socket، تم نشر هذه الإضافات تحت خمس هويات مختلفة هي: Yana Project وGameGen وSideGames وRodeo Games وInterAlt، وقد وصل عدد مرات تثبيتها مجتمعة إلى حوالي 20 ألف مرة عبر متجر Chrome.
وأوضح الباحث الأمني كوش بانديا أن جميع هذه الإضافات تقوم بإرسال بيانات حساسة — مثل بيانات تسجيل الدخول، وهويات المستخدمين، وسجل التصفح — إلى خوادم يسيطر عليها نفس الجهة.
ومن بين هذه الإضافات:
54 إضافة تستهدف سرقة حسابات جوجل عبر OAuth2
45 إضافة تحتوي على باب خلفي يسمح بفتح روابط عشوائية عند تشغيل المتصفح
والبقية تقوم بأنشطة خبيثة متنوعة
كما تم رصد سلوكيات خطيرة مثل:
سرقة جلسات Telegram Web بشكل متكرر
إزالة رؤوس الحماية من مواقع مثل YouTube وTikTok لحقن إعلانات (بما فيها إعلانات مقامرة)
إدخال سكربتات خبيثة في جميع صفحات الويب
تمرير طلبات الترجمة عبر خوادم المهاجمين
ولإضفاء طابع شرعي، تتخفى هذه الإضافات على شكل أدوات مفيدة مثل:
إضافات خاصة بتليجرام
ألعاب بسيطة
أدوات تحسين يوتيوب وتيك توك
خدمات ترجمة
لكن في الواقع، تعمل في الخلفية على سرقة بيانات الجلسات، وحقن أكواد ضارة، وفتح روابط يحددها المهاجم.
ومن الأمثلة على هذه الإضافات:
إضافة لإدارة حسابات Telegram تقوم بسرقة رمز التحقق واستبدال جلسة المستخدم بجلسة يحددها المهاجم
إضافة Teleside التي تزيل حماية Telegram وتسرق الجلسات
لعبة Formula Rush التي تسرق بيانات حساب جوجل عند تسجيل الدخول
كما أشارت Socket إلى أن بعض هذه الإضافات تستخدم واجهة برمجة خاصة في كروم لإزالة طبقات الحماية من المواقع قبل تحميلها، وأن جميعها تعتمد على نفس الخادم الخلفي.
حتى الآن، لم يتم تحديد الجهة المسؤولة عن هذه الحملة، لكن تحليل الشيفرة أظهر وجود تعليقات باللغة الروسية، ما قد يشير إلى مصدرها.
🔴 التوصية المهمة:
ينصح أي مستخدم قام بتثبيت هذه الإضافات بحذفها فورًا، وتسجيل الخروج من جميع جلسات Telegram Web عبر الهاتف، لتفادي أي اختراق محتمل.