وراء القناع: كيف طارد برنامج GhostPoster الخبيث 50,000 مستخدم لفَيَرفُكس

بدأ الأمر بنقرة واحدة - ربما لحجب إعلان، ترجمة صفحة، أو تفعيل الوضع الليلي لتصفح متأخر. لكن لأكثر من 50,000 مستخدم لفَيَرفُكس، كانت هذه الإضافات التي تبدو مفيدة فخًا. فقد كان مخفيًا في كودها برنامج GhostPoster، حملة برمجيات خبيثة متخفية حولت التصفح العادي إلى منجم ذهب لمجرمي الإنترنت - بينما تركت الضحايا مكشوفين للهجوم.

تم كشف عملية GhostPoster بواسطة Koi Security، التي وجدت أن 17 إضافة لمتصفح فَيَرفُكس - بما في ذلك شبكات VPN، أدوات التقاط الشاشة، حاجبات الإعلانات، ونسخ غير رسمية من Google Translate - كانت توصل بهدوء حمولة برمجية خبيثة متعددة المراحل. متخفية كأدوات شرعية، جذبت هذه الإضافات المستخدمين بوعود الخصوصية والراحة. لكنها قدمت المراقبة والاستغلال بدلًا من ذلك.

شرح الباحثان لوتان سيري ونوغا جولدمان كيف عمل الهجوم: عند تحميل المستخدم لإحدى الإضافات المصابة، كان البرنامج يجلب ما يبدو كملف شعار بريء. لكن مخفيًا داخل تلك الصورة كان هناك كود جافاسكريبت - حالة كلاسيكية من الإخفاء الرقمي. ثم يتواصل هذا المحمل مع خوادم خارجية يسيطر عليها المهاجمون، لكن فقط في 10% من الحالات ومع تأخير مدمج لمدة ستة أيام بعد التثبيت، مما يجعل اكتشافه أصعب بكثير على أدوات ومحللي الأمن.

عند التفعيل، أطلق GhostPoster مجموعة أدوات متطورة. اختطف روابط الشركاء على مواقع التجارة الإلكترونية، محولًا العمولات من الشركاء الشرعيين إلى جيوب المهاجمين. حقن كود تتبع Google Analytics في كل صفحة تمت زيارتها، ليبني ملفات سرية لضحاياه. والأخطر من ذلك، أزال رؤوس الأمان الحرجة من المتصفح، مما عرض المستخدمين لهجمات إضافية مثل النقر الاحتيالي وحقن البرمجيات عبر المواقع. كما تم تحميل إطارات مخفية بمحتوى خبيث في الخلفية، مما مكن من عمليات احتيال إعلاني ونقر واسعة النطاق. وللحفاظ على استمرار عمليته، تجاوزت البرمجية حتى اختبارات CAPTCHA - مُثبتة نفسها "بشرية" لتفادي إجراءات الكشف.

لم تكن هذه حادثة عابرة. جميع الإضافات تواصلت مع نفس بنية القيادة والتحكم وأظهرت نفس السلوكيات الخبيثة، مما يشير إلى جهة تهديد واحدة أو مجموعة تجرب أساليب هندسة اجتماعية مختلفة. التوقيت مقلق بشكل خاص: قبل أيام فقط، تم ضبط إضافات شهيرة على Chrome وEdge تسرق بيانات الدردشة بالذكاء الاصطناعي ومعلومات المستخدمين سرًا.

درس GhostPoster واضح وصارم. الإضافات المجانية للمتصفح - خاصة تلك التي تعد بالخصوصية أو الأمان - قد تكون ذئابًا في ثياب حملان. كما قالت Koi Security بصراحة: "شبكات VPN المجانية تعد بالخصوصية، لكن لا شيء في الحياة مجاني. مرارًا وتكرارًا، تقدم المراقبة بدلًا من ذلك."

بالنسبة للمستخدمين، الرسالة واضحة: ثق، لكن تحقق، وكن دائمًا متشككًا في الإضافات التي تبدو جيدة جدًا - أو مجانية جدًا - لتكون حقيقية. في عالم الإضافات المظلم، أحيانًا يكون الثمن الحقيقي هو خصوصيتك.

ويكيكروك

• الإخفاء (Steganography): الإخفاء هو إخفاء رسائل أو أكواد سرية داخل ملفات عادية مثل الصور أو الصوت، مما يجعل المعلومات المخفية صعبة الاكتشاف.
• اختطاف روابط الشركاء: اختطاف روابط الشركاء هو عندما يعيد المهاجمون توجيه روابط الشركاء لسرقة العمولات، مما يؤثر على الشركاء الشرعيين ويضر بثقة الأعمال.
• أمر (Command): الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم قيادة وتحكم (C2)، لتوجيهه بتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• رؤوس الأمان: رؤوس الأمان هي إعدادات استجابة HTTP تساعد في حماية المواقع من الهجمات عبر التحكم في سلوك المتصفح، وتقليل المخاطر مثل XSS والنقر الاحتيالي.
• كابتشا (CAPTCHA): الكابتشا هو اختبار أمان على المواقع يساعد في التمييز بين البشر والروبوتات، غالبًا عبر طلب حل ألغاز بسيطة أو تحديد صور.