كشف باحثون في الأمن السيبراني عن مجموعة جديدة من الإضافات الخبيثة للمتصفحات مرتبطة بحملة تُعرف باسم GhostPoster، بعد رصد 17 إضافة انتشرت عبر متاجر كروم وفايرفوكس وإيدج، ونجحت في جمع ما يقرب من 840 ألف عملية تثبيت.
وكانت الحملة قد كُشف عنها للمرة الأولى في ديسمبر الماضي على يد باحثي Koi Security، الذين توصلوا حينها إلى أن إضافات تبدو عادية كانت تُخفي شيفرات JavaScript خبيثة داخل صور الشعارات الخاصة بها، بهدف مراقبة نشاط المستخدمين داخل المتصفح وزرع أبواب خلفية.
مراقبة وتلاعب بالإعلانات
تقوم الشيفرة الخبيثة بجلب حمولة مشفّرة بدرجة عالية من مصدر خارجي، لتتبع سلوك التصفح، واختطاف روابط التسويق بالعمولة على منصات التجارة الإلكترونية الكبرى، إضافة إلى حقن إطارات غير مرئية تُستخدم في الاحتيال الإعلاني والنقرات الوهمية، بحسب تقرير نشره موقع "bleepingcomputer" واطلعت عليه "العربية Business".
الحملة لا تزال مستمرة
تقرير جديد صادر عن منصة أمن المتصفحات LayerX أكد أن الحملة ما زالت نشطة رغم انكشافها، مشيرًا إلى أن الإضافات المكتشفة حديثًا شملت أدوات شائعة مثل الترجمة، وحظر الإعلانات، وتحميل الفيديوهات، ولقطات الشاشة، مع تسجيل أعلى عدد تثبيت لإضافة تحمل اسم Google Translate in Right Click بأكثر من 522 ألف تثبيت.
وأشار التقرير إلى أن الحملة بدأت على متصفح إيدج قبل أن تمتد لاحقًا إلى فايرفوكس وكروم، لافتًا إلى أن بعض هذه الإضافات كانت متاحة في متاجر الإضافات منذ عام 2020، ما يعكس عملية خبيثة طويلة الأمد نجحت في تفادي الرصد لفترة طويلة.
تطور في أساليب الإخفاء
ورغم أن أساليب التمويه والتنشيط لا تزال مشابهة لما وثقته Koi Security سابقًا، إلا أن LayerX رصدت نسخة أكثر تطورًا داخل إضافة Instagram Downloader.
في هذه النسخة، جرى نقل منطق التنفيذ الخبيث إلى السكربت الخلفي للإضافة، مع استخدام ملف صورة مدمج كحاوية سرية للحمولة بدلاً من الاكتفاء بالأيقونة.
وتعمل الآلية الجديدة عبر فحص البيانات الخام للصورة بحثًا عن فاصل محدد، ثم استخراج الشيفرة المخفية وتخزينها محليًا، قبل فك ترميزها وتشغيلها لاحقًا كشيفرة JavaScript.
ووصفت LayerX هذا الأسلوب بأنه تطور واضح نحو فترات كمون أطول ومرونة أعلى في مواجهة آليات الكشف الثابتة والسلوكية.
الإزالة لا تعني زوال الخطر
وأكد الباحثون أن الإضافات التي جرى تحديدها أُزيلت بالفعل من متجري "موزيلا" و"مايكروسوفت"، كما أكدت "غوغل" بدورها إزالة جميع الإضافات المعنية من متجر كروم.
إلا أنهم حذروا من أن المستخدمين الذين قاموا بتثبيت هذه الإضافات سابقًا قد يظلون عرضة للخطر ما لم يبادروا بإزالتها يدويًا وفحص متصفحاتهم.
وتعيد هذه الحادثة تسليط الضوء على مخاطر الإضافات غير الموثوقة، حتى تلك التي تبدو شائعة أو مفيدة، وضرورة توخي الحذر عند تثبيت أي أدوات من متاجر المتصفحات.
