اكتشف محللو الأمن السيبراني حملةً غير مستخدمة، حيث تبيّن أن مجموعةً من 108 إضافات لمتصفح جوجل كروم تتصل بخادم تحكم واحد بهدف جمع بيانات المستخدمين وتمكين التلاعب بالمتصفح عبر تضمين إعلانات ورموز جافا سكريبت ذاتية التفعيل في كل صفحة ويب يتم زيارتها.
ووفقًا لموقع Attachment، تُوزّع هذه الإضافات تحت خمسة أسماء ناشرين معروفة – Yana Venture وGameGen وSideGames وRodeo Recreations وInterAlt – وقد حصدت مجتمعةً ما يقارب 20,000 عملية تثبيت في متجر كروم الإلكتروني.
وقال محلل الأمن كوش بانديا في تحقيقٍ له: “جميع الإضافات الـ 108 تقوم بنقل بيانات اعتماد المستخدمين وحساباتهم ومعلومات التصفح المسروقة إلى خوادم يتحكم بها نفس المسؤول”.
من بين هذه الإضافات، تستخدم 54 إضافة هوية حساب جوجل عبر OAuth2، بينما تحتوي 45 إضافة على ثغرة أمنية واسعة الانتشار تفتح عناوين URL ذاتية التأكيد بمجرد تشغيل المتصفح، أما الإضافات المتبقية فتستخدم مجموعة متنوعة من السلوكيات الضارة، منها:
استخراج جلسات Wire Web كل 15 ثانية، وإزالة رؤوس الأمان الخاصة بـ YouTube وTikTok (مثل بروتوكول أمان المحتوى، وخيارات X-Frame، وCORS) وإضافة نوافذ منبثقة للمراهنات وإعلانات، وحقن نصوص برمجية في كل صفحة يزورها المستخدم، وتوجيه جميع طلبات الترجمة عبر خادم المُهاجم.
في محاولة لإضفاء مظهر من المصداقية، تتنكر هذه الإضافات في هيئة عملاء الشريط الجانبي لـ Wire، وألعاب ماكينات القمار والكينو، ومُحسِّنات YouTube وTikTok، وأدوات ترجمة المحتوى، وأدوات مساعدة للصفحات. تتنوع الوظائف المعلن عنها، مما يشير إلى انتشارها على نطاق واسع، مع أنها تشترك في نفس البنية التحتية.
دون علم المستخدمين، يقوم رمز خبيث يعمل في النظام بالتقاط بيانات الجلسة، وحقن برامج نصية ذاتية التفعيل، وفتح عناوين URL يختارها المهاجم.
بعض الإضافات المعروفة مذكورة أدناه:
Telegram Multi-account (المعرف: obifanppcpchlehkjipahhphbcbjekfa)، الذي يستخرج رمز مصادقة المستخدم (user_auth) المستخدم من قِبل Wire Web، وينقل البيانات إلى خادم آخر. كما يمكنه استبدال بيانات الجلسة المُقدمة من المهاجم في localStorage، وإعادة تحميل تطبيق المراسلة قسرًا، ما يؤدي إلى استبدال جلسة Wire النشطة للضحية بجلسة يختارها المهاجم.
Web Client for Wire – Teleside (المعرف: mdcfennpfgkngnibjbpnpaafcjnhcjno)، الذي يُزيل رؤوس الأمان الخاصة بـ Telegram، ويحقن برامج نصية للاستيلاء على جلسات Wire.
Web Client for Wire – Teleside (المعرف: mdcfennpfgkngnibjbpnpaafcjnhcjno)، الذي يُزيل رؤوس الأمان الخاصة بـ Telegram، ويحقن برامج نصية للاستيلاء على جلسات Wire. يستخدم برنامج Formula Surge Dashing Diversion (المعرف: akebbllmckjphjiojeioooidhnddnplj) بيانات حساب جوجل للمستخدم عند النقر على زر تسجيل الدخول. تشمل هذه البيانات تفاصيل مثل البريد الإلكتروني، والاسم الكامل، ورابط صورة الملف الشخصي، ومعرف حساب جوجل.
وقال أحد المسؤولين: “تستخدم خمس إضافات واجهة برمجة تطبيقات Chrome التصريحية NetRequest لإزالة رؤوس الأمان من المواقع المستهدفة عند تحميل الصفحة. تشترك جميع الإضافات الضارة البالغ عددها 108 في نفس الخادم الخلفي، المُستضاف على العنوان 144.126.135[.]238.”
لا يُعرف حتى الآن من يقف وراء هذه الإضافات المخالفة للسياسات. مع ذلك، كشف تحليل شفرة المصدر عن وجود تعليقات باللغة الروسية على بعض الإضافات.
يُطلب من المستخدمين الذين قاموا بتثبيت أي من هذه الإضافات إزالتها فورًا وتسجيل الخروج من جميع جلسات Wire Web من تطبيق Wire للهواتف المحمولة.
