التخفي بالتصميم: كيف استغلّت إضافات فايرفوكس الخبيثة الأيقونات البريئة كسلاح

عندما تقوم بتنزيل إضافة للمتصفح، تتوقع زيادة في الإنتاجية أو الخصوصية - not وجود مجرم إلكتروني مختبئ خلف أيقونة ودودة. لكن هذا بالضبط ما حدث لأكثر من 50,000 مستخدم لفايرفوكس، الذين قاموا دون علمهم بتثبيت إضافات تحتوي على نوع جديد من البرمجيات الخبيثة المتخفية لدرجة أنها اختبأت في وضح النهار - داخل شعار الإضافة نفسه.

حقائق سريعة

• على الأقل 17 إضافة خبيثة لفايرفوكس استخدمت تقنية الإخفاء (ستيجانوجرافي) لإخفاء البرمجيات الخبيثة داخل ملفات أيقونات PNG.
• الحملة، التي أطلق عليها اسم "GhostPoster"، أثرت على أكثر من 50,000 مستخدم حول العالم.
• البرمجيات الخبيثة استولت على روابط التسويق بالعمولة، وجمعت بيانات التصفح، وأزالت الحماية الأمنية للمتصفح.
• استخدم المهاجمون تأخيرات زمنية وتفعيل عشوائي لتجنب الاكتشاف والتحليل الجنائي.
• لم تقم موزيلا بعد بإزالة جميع الإضافات المصابة من سوق الإضافات الخاص بها.

حملة GhostPoster، التي كشفها باحثو الأمن في Koi Security وKoidex، شكّلت تصعيداً مرعباً في تهديدات إضافات المتصفح. فقد تنكرت هذه الإضافات كشبكات VPN مجانية، أو أدوات حجب إعلانات، أو أدوات ترجمة، أو تطبيقات طقس، لكنها لم تكن مفيدة على الإطلاق. هدفها الحقيقي: تحويل متصفحات المستخدمين إلى مصادر دخل وأدوات مراقبة لمجرمي الإنترنت.

كانت التقنية المستخدمة بارعة بقدر ما كانت خبيثة. كل إضافة مصابة كانت تحمل شعارها - صورة PNG تبدو غير ضارة - ثم تقوم بفحص بياناتها الخام بحثاً عن علامة مميزة. خلف تلك العلامة كان هناك جزء من كود جافاسكريبت، تم تضمينه باستخدام تقنية الإخفاء (ستيجانوجرافي)، وهي طريقة لإخفاء المعلومات داخل ملفات أخرى. هذا سمح للبرمجيات الخبيثة بتجاوز مراجعي الشيفرة البشريين وأنظمة الفحص الآلي، حيث بدا الشعار طبيعياً تماماً للعين المجردة.

بمجرد استخراج وتنفيذ الشيفرة المخفية، كانت تتواصل مع خوادم يتحكم بها المهاجمون (وأبرزها liveupdt[.]com وdealctr[.]com) لجلب حمولات خبيثة إضافية. لكن GhostPoster لم يهاجم فوراً. لتجنب إثارة الشكوك، أخرت البرمجيات الخبيثة تفعيلها لأكثر من ستة أيام، ولم تجلب الحمولات إلا في 10% من الاتصالات. كل حمولة كانت مشفرة ومرتبطة بشكل فريد بالمتصفح المصاب، مما جعل الاكتشاف والتحليل أكثر صعوبة.

قدرات البرمجيات الخبيثة كانت واسعة وخطيرة. فقد استولت على روابط التسويق بالعمولة في منصات التجارة الإلكترونية، وحوّلت العمولات لصالح المهاجمين. كما أدرجت تتبع Google Analytics في كل صفحة، لتسجيل سلوك المستخدم وجدول الإصابة. والأسوأ من ذلك، أنها أزالت رؤوس الأمان الأساسية للمتصفح، مما جعل الضحايا عرضة لهجمات النقر الاحتيالي (clickjacking) وهجمات البرمجة عبر المواقع (XSS)، بل وأدرجت إطارات مخفية للاحتيال الإعلاني. بعض الإضافات حاولت أيضاً تجاوز اختبارات CAPTCHA باستخدام حلول من طرف ثالث، مما وسّع نطاق هجماتها.

رغم تزايد الأدلة، لم تقم موزيلا بعد بإزالة جميع الإضافات المصابة، بما في ذلك الإضافات واسعة الانتشار مثل "Free VPN Forever" و"Google Translate Pro Extension". ويحث الباحثون المستخدمين على إزالة أي إضافات VPN أو ترجمة مشبوهة فوراً، ومراقبة نشاط المتصفح لرصد أي سلوك غير طبيعي.

قصة GhostPoster تذكير صارخ: حتى الإضافات التي تبدو بريئة جداً قد تخفي تهديدات متطورة. ومع تزايد جرأة وابتكار المهاجمين، يجب أن تكون اليقظة - not الراحة - هي ما يوجه اختياراتنا الرقمية.

ويكي كروك

• الإخفاء (ستيجانوجرافي): الإخفاء هو إخفاء رسائل أو شيفرة سرية داخل ملفات عادية مثل الصور أو الصوت، مما يصعّب اكتشاف المعلومات المخفية.
• الأمر (Command): الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم تحكم، لتوجيهه للقيام بإجراءات محددة، أحياناً لأغراض خبيثة.
• النقر الاحتيالي (Clickjacking): النقر الاحتيالي هو هجوم إلكتروني يتم فيه خداع المستخدمين للنقر على عناصر مخفية أو مموهة، مما يؤدي إلى إجراءات غير مقصودة أو سرقة بيانات.
• إضافة المتصفح (Browser Extension): إضافة المتصفح هي أداة صغيرة تعزز ميزات المتصفح، لكنها قد تُستغل أيضاً من قبل القراصنة لسرقة البيانات أو التجسس على المستخدمين.
• الحمولة (Payload): الحمولة هي الجزء الضار من الهجوم الإلكتروني، مثل الفيروس أو برامج التجسس، يتم تسليمه عبر رسائل أو ملفات خبيثة عند تفاعل الضحية معها.