عصابة دارك سبكتر الغامضة في الصين تحول إضافات المتصفح الموثوقة إلى أسلحة تجسس

العنوان الفرعي: أكثر من 8 ملايين مستخدم لمتصفحات كروم، إيدج، فايرفوكس وأوبرا تعرضوا للاختراق بصمت من قبل مجموعة جريمة إلكترونية صينية منظمة وصبورة للغاية.

بدأ الأمر بهدوء، مع إضافات متصفح تبدو بريئة تعد بصفحات تبويب جديدة عملية، أو أدوات ترجمة، أو تنزيلات فيديو. لكن خلف الستار الرقمي، كانت عملية صينية واسعة النطاق تحول هذه الإضافات اليومية تدريجياً إلى واحدة من أكبر حملات التجسس الإلكتروني عبر المتصفحات في التاريخ. بالنسبة لملايين المستخدمين غير المشتبهين، أصبح نافذة المتصفح بوابة للمراقبة وسرقة البيانات والاحتيال المالي - تحت أنوفهم مباشرة.

حقائق سريعة

أكثر من 8.8 مليون مستخدم عبر كروم، إيدج، فايرفوكس وأوبرا تعرضوا للإصابة منذ عام 2017.
ثلاث حملات مترابطة - شادي باندا، غوست بوستر، وزووم ستيلر - تشكل عملية دارك سبكتر.
بقيت الإضافات الخبيثة غير مكتشفة لسنوات، مستغلة ثقة السوق وتقييمات المستخدمين العالية.
مكّنت تقنيات الإخفاء (الإستيجانوجرافي) وتسريب البيانات في الوقت الحقيقي من شن هجمات متقدمة ومتخفية.
تشير البنية التحتية ونشاط المطورين إلى مجموعة تهديد صينية ممولة جيداً ومنظمة.

كشف باحثو Koi.ai النقاب عن دارك سبكتر، عصابة جريمة إلكترونية لم تكن معروفة سابقاً، اخترقت بهدوء متصفحات أكثر من 8.8 مليون شخص حول العالم. بخلاف عصابات البرمجيات الخبيثة التقليدية، تعمل دارك سبكتر كالهيدرا الرقمية - ثلاث حملات متميزة لكنها مترابطة، لكل منها تخصصها الخاص، وتعمل جميعها بتناغم تحت استراتيجية موحدة.

الأقدم والأكثر انتشاراً، شادي باندا، أصابت 5.6 مليون مستخدم. كانت إضافاتها تتنكر كمعززات إنتاجية، مخفية نواياها الحقيقية لسنوات. بمجرد تثبيتها، كانت هذه الإضافات البريئة ظاهرياً تقوم بتنزيل إعدادات خبيثة من خوادم بعيدة وتبدأ في تتبع سلوك المستخدمين، واختطاف نتائج البحث، وحتى ارتكاب احتيال الشراكة في التجارة الإلكترونية - محققة أرباحاً من مشتريات المستخدمين اليومية دون علمهم.

في الوقت نفسه، استهدفت غوست بوستر مستخدمي فايرفوكس وأوبرا بطريقة أكثر خفاءً: إخفاء الشيفرة الخبيثة داخل صور PNG باستخدام تقنيات الإخفاء (الإستيجانوجرافي). بعد أن تظل خاملة لأيام، تقوم هذه الإضافات بفك شيفرة جافاسكريبت مخفية من الصور وتنفيذها، مما يسمح للمهاجمين بالتحكم عن بعد في المتصفحات المصابة. أكثر من مليون مستخدم وقعوا ضحية لهذه الحملة وحدها.

أما الاكتشاف الأحدث والأكثر إثارة للقلق فهو زووم ستيلر. متنكراً كأدوات اجتماعات أو برامج تنزيل فيديو، استهدفت هذه الإضافات مستخدمي الأعمال - حيث كانت تجمع سراً بيانات الدخول، وروابط الاجتماعات، وحتى ملفات المتحدثين من أكثر من عشرين منصة مؤتمرات فيديو. من خلال استغلال اتصالات WebSocket الفورية، تم تحويل البيانات المسروقة إلى قواعد بيانات وخدمات سحابية، مما عرض معلومات الشركات الحساسة للخطر المباشر.

ما يميز دارك سبكتر هو الصبر والتعقيد. استغلت المجموعة الثقة التي بنتها عبر سنوات من التحديثات النظيفة والتقييمات الإيجابية، ولم "تقلب المفتاح" إلى الوضع الخبيث إلا من خلال إعدادات عن بعد. وتشير بنيتهم التحتية - المستضافة على سحابة علي بابا، مع نشاط تطوير يتوافق مع ساعات العمل الصينية - إلى عملية منظمة وممولة جيداً، وليست مجرد هاكر منفرد محظوظ.

لا تزال العديد من هذه الإضافات المسلّحة نشطة حتى اليوم، في تحذير صارخ من المخاطر الخفية الكامنة في أسواق إضافات المتصفحات. ومع تحول حياتنا الرقمية لتصبح أكثر اعتماداً على المتصفح، تذكّرنا حملة دارك سبكتر بشكل مخيف: أحياناً، تأتي أعظم التهديدات متخفية في صورة وسائل راحة يومية.

مع ازدياد صبر وتعقيد مجرمي الإنترنت، تصبح الحدود بين الأدوات الموثوقة والتهديدات الخطيرة أكثر غموضاً. يجب على المستخدمين - والشركات التي تدير أسواق الإضافات - البقاء في حالة يقظة، لأن الإضافة "الضرورية" التالية قد تكون حصان طروادة لآلة تجسس عالمية.

ويكي كروك

إضافة المتصفح: إضافة المتصفح هي ملحق صغير يعزز ميزات المتصفح، لكنها قد تُستغل أيضاً من قبل المخترقين لسرقة البيانات أو التجسس على المستخدمين.
الإستيجانوجرافي (إخفاء المعلومات): الإستيجانوجرافي هو إخفاء رسائل أو شيفرات سرية داخل ملفات عادية مثل الصور أو الصوتيات، مما يصعب اكتشاف المعلومات المخفية.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم تحكم (C2)، لتوجيهه بتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
ويب سوكيت: ويب سوكيت هو بروتوكول يحافظ على قناة مفتوحة بين المتصفح والخادم، مما يسمح بتبادل الرسائل في الوقت الحقيقي وباتجاهين.
تسريب البيانات: تسريب البيانات هو نقل غير مصرح به للبيانات الحساسة من شبكة الضحية إلى نظام خارجي يسيطر عليه المهاجمون.