EN
أفادت تقارير حديثة عن انتشار حملة برمجيات خبيثة تستهدف مستخدمي المتصفحات الشهيرة كروم وإيدج، مما أثر على أكثر من 300 ألف جهاز حول العالم.
وبحسب ما ذكره موقع “thehackernews”، رصد فريق أبحاث ReasonLabs، حملة برمجيات خبيثة واسعة النطاق، تقوم بتثبيت ملحقات ضارة على متصفح كروم Chrome من جوجل، ومتصفح Edge التابع لشركة مايكروسوفت، والتي تتحتوي على فيروس حصان طروادة الخطير، والذي يتم توزيعه عبر مواقع الويب المزيفة التي تتنكر في صورة برامج شائعة.
برامج ضارة تهدد 300 ألف مستخدم لـ كروم وإيدج
أوضح أبحاث ReasonLabs، إن برامج حصان طروادة الضار يحتوي على مخرجات مختلفة تتراوح من امتدادات برامج الإعلانات المتسللة البسيطة التي تسرق عمليات البحث، بالإضافة إلى البرامج النصية الضارة الأكثر تعقيدا التي توفر امتدادات محلية لسرقة البيانات الخاصة وتنفيذ أوامر مختلفة على الجهاز المخترق.
ويشير التقرير، إلى أن هذا النوع من برامج طروادة الضارة موجودة منذ عام 2021، وهي تعمل على تقليد مواقع التنزيل التي تحتوي على وظائف إضافية للألعاب ومقاطع الفيديو عبر الإنترنت.
وتتمتع هذه الملحقات المزودة بالبرامج الضارة، بشعبية كبيرة حيث يستخدمها ما لا يقل عن 300.000 مستخدم لمتصفحي جوجل كروم ومايكروسوفت إيدج، مما يشير إلى أن البرمجيات الخبيثة منتشرة على نطاق واسع.
وتهدف حملة البرمجيات الخبيثة، إلى نشر الإعلانات الضارة المتعلقة بمواقع الويب المشابهة التي تروج لبرامج معروفة مثل Roblox FPS Unlocker أو يوتيوب أو مشغل وسائط VLC أو Steam أو KeePass لخداع المستخدمين الذين يبحثون عن هذه البرامج لتنزيل حصان طروادة، الذي يعمل كـ قناة لتثبيت ملحقات المتصفح.
وتعمل أدوات التثبيت الضارة مهمة مجدولة، والتي بدورها يتم تكوينها لتنفيذ برنامج PowerShell النصي المسؤول عن تنزيل وتنفيذ حمولة البرامج الضارة في المرحلة التالية التي يتم جلبها من خادم بعيد.
وتتضمن مهامها الآخرى تعديل سجل ويندوز لفرض تثبيت الملحقات من متجر كروم على الويب، ومتجر ملحقات مايكروسوفت إيدج، مما يمنحها القدرة على الاستيلاء على استعلامات البحث على محرك جوجل ومايكروسوفت Bing وإعادة توجيهها عبر خوادم يتحكم فيها المهاجم.
وقال فريق ReasonLabs: “إنه لا يمكن للمستخدم تعطيل الامتداد، حتى مع تشغيل وضع المطور، والإصدارات الأحدث من البرنامج النصي تزيل تحديثات المتصفح”.
وكما تطلق البرمجية الخبيثة أيضا ملحقا محليا يتم تنزيله مباشرة من خادم القيادة والتحكم (C2)، ويأتي بقدرات واسعة لاعتراض جميع طلبات الويب وإرسالها إلى الخادم، وتلقي الأوامر والبرامج النصية المشفرة، وحقن البرامج النصية وتحميلها في جميع الصفحات.
وعلاوة على ذلك، فهو يخطف استعلامات البحث من محركات البحث Bingوجوجل، ويوجهها عبر خوادمه ثم إلى محركات البحث الأخرى.
