اكتشاف إضافات VPN وهمية لمتصفح كروم تحتوي على برمجيات خبيثة
أفاد مختبر ReasonLabs بأن ثلاث إضافات خبيثة لمتصفح جوجل كروم، متنكرة في صورة شبكات VPN وهمية، قد تم تحميلها أكثر من 1.5 مليون مرة، حيث عملت كبرمجيات لاختطاف المتصفحات، وأدوات لسرقة الأموال، وسرقة البيانات.
وفقًا للتقارير، تم نشر الإضافات الخبيثة عبر برنامج تثبيت مخفي داخل نسخ مقرصنة من ألعاب الفيديو الشهيرة مثل Grand Theft Auto و Assassins Creed و The Sims 4، والتي تم تداولها عبر مواقع التورنت.
أبلغ مختبر ReasonLabs شركة جوجل بنتائج اكتشافاته، مما أدى إلى إزالة الإضافات المسيئة من متجر إضافات متصفح كروم، وذلك بعد أن حققت تلك الإضافات ما مجموعه 1.5 مليون عملية تنزيل.
الإضافات الخبيثة التي تم تحديدها هي netPlus (بأكثر من مليون تثبيت)، و netSave، و netWin (بنصف مليون تثبيت).
أغلب الإصابات سُجلت في روسيا ودول مثل أوكرانيا وكازاخستان وبيلاروسيا، مما يشير إلى أن الحملة تستهدف المستخدمين الناطقين بالروسية.
قد يهمك: 5 من أفضل تطبيقات VPN المجانية على أندرويد
زرع إضافات VPN وهمية
اكتشف مختبر ReasonLabs أكثر من ألف ملف تورنت يقوم بتوصيل ملف التثبيت الخبيث، وهو تطبيق إلكتروني بحجم يتراوح بين 60 و100 ميجابايت.
يتم تثبيت الإضافات تلقائيًا وقسرًا على مستوى سجل النظام (Registry)، ولا يتطلب تدخل المستخدم أو أي إجراء من جانب الضحية.
وفي النهاية، يقوم التطبيق الخبيث بفحص منتجات مكافحة الفيروسات على الجهاز المصاب، ثم يقوم بتحميل إضافة netSave على متصفح جوجل كروم، و netPlus على متصفح مايكروسوفت إيدج، أيًا كان الموجود منهما.
المثير للاهتمام أن الإضافات الخبيثة تستخدم واجهة مستخدم VPN واقعية مع بعض الوظائف، وخيار الاشتراك المدفوع لخلق إحساس وهمي بأنّها خدمة VPN حقيقية.
وأظهر تحليل الكود أن الإضافة تمتلك الوصول إلى عدة صلاحيات مهمة. وأشار مختبر ReasonLabs إلى أن سوء استخدام صلاحية «offscreen» يمكّن البرمجية الخبيثة من تشغيل السكربتات عبر واجهة Offscreen API والتفاعل بشكل خفي مع نموذج كائن الوثيقة (DOM) الحالي للصفحة الويب.
مع هذا الوصول الواسع إلى DOM، يُمكن للإضافات الخبيثة سرقة بيانات المستخدم الحساسة، وتنفيذ عمليات اختطاف التصفح، والتلاعب بطلبات الويب، وحتى تعطيل الإضافات الأخرى المثبتة على المتصفح.
ذو صلة: تعرف على أفضل 33 إضافة متوفرة لمتصفح جوجل كروم
كما تمتلك الإضافات الخبيثة وظيفة أخرى هي تعطيل إضافات الكاش باك والقسائم الأخرى للقضاء على المنافسة على الجهاز المصاب وإعادة توجيه الأرباح إلى المهاجمين.
يسلط هذا التقرير الضوء على المشاكل الأمنية الكبيرة المحيطة بإضافات متصفح الويب، والكثير منها معقد التشفير لجعل من الصعب تحديد السلوك الذي تُظهره.
لهذا السبب، يجب على المستخدمين التحقق بشكل دوري من الإضافات المثبتة في المتصفح ومراجعة التقييمات الجديدة في متجر «إضافات كروم» لمعرفة ما إذا كان هناك أي سلوك خبيث أبلغ عنه المستخدمين الآخرين.