داخل الغزو الصامت للمتصفحات من الصين: كيف تجسست إضافات DarkSpectre على ملايين المستخدمين

العنوان الفرعي: حملة إلكترونية صينية واسعة النطاق استغلت إضافات متصفح موثوقة لسنوات، وسرقت أسرار الشركات وبيانات المستخدمين من نحو 9 ملايين ضحية حول العالم دون علمهم.

عندما تقوم بتثبيت إضافة للمتصفح - مثل أداة لتحميل الفيديوهات، أو مساعد للاجتماعات، أو لوحة تحكم عملية - فأنت تتوقع الراحة، لا المراقبة السرية. لكن بالنسبة للملايين حول العالم، تم خيانة هذه الثقة بشكل عميق. فقد قامت مجموعة تهديد صينية لا تعرف الكلل، أطلق عليها اسم "DarkSpectre"، بتحويل إضافات المتصفح البريئة ظاهرياً إلى أدوات تجسس دقيقة، مستهدفة ليس فقط المستخدمين العاديين بل أيضاً قلب عالم الشركات.

حقائق سريعة

حملات إضافات المتصفح من DarkSpectre اخترقت أكثر من 8.8 مليون مستخدم حول العالم عبر متصفحات كروم، إيدج، فايرفوكس، وأوبرا.
الإضافات الخبيثة تظاهرت بأنها أدوات لمنصات شهيرة مثل Zoom وGoogle Meet وGoToWebinar - وجمعت بيانات اجتماعات حساسة في الوقت الفعلي.
بعض الإضافات بقيت خاملة لسنوات، لكسب ثقة المستخدمين قبل تفعيل تحديثات خبيثة.
ربط الباحثون الحملات بالصين عبر بنية الخوادم، وآثار الشيفرة، وعمليات احتيال استهدفت التجارة الإلكترونية الصينية.
البيانات المسروقة تتيح ليس فقط الاحتيال، بل التجسس الصناعي واسع النطاق والهندسة الاجتماعية.

تشريح اختراق عالمي

بدأت القصة مع حملتين - ShadyPanda وGhostPoster - أصابتا ملايين المستخدمين. استهدفت ShadyPanda جميع المتصفحات الرئيسية، بهدف اختطاف استعلامات البحث، وسرقة بيانات المستخدمين، وارتكاب احتيال بالعمولات. أما GhostPoster فركزت على فايرفوكس وأوبرا، مستغلة إضافات VPN و"الأدوات" لحقن شيفرة خبيثة لعمليات النقر الاحتيالي والاحتيال الإعلاني. لكن العملية الأكثر رعباً لم تُكشف بعد.

الحملة الثالثة، "سارق Zoom"، استهدفت غرف الاجتماعات الرقمية حول العالم. ثمانية عشر إضافة، غالباً ما كانت تتنكر كأدوات إنتاجية لـ Zoom وGoogle Meet ومنصات مشابهة، جمعت خلسة روابط الاجتماعات، وكلمات المرور المدمجة، وقوائم المشاركين، وحتى معلومات شخصية عن المتحدثين والمضيفين. لم يكن الهدف مجرد عائدات إعلانات أو تصيد احتيالي - بل كان جمع معلومات استخباراتية منهجية، يُرجح أنها موجهة للتجسس الصناعي أو حتى عمليات دولة.

تكتيكات التخفي ولعبة الثقة

تعكس براعة DarkSpectre مستوى مقلقاً من التطور. بعض الإضافات انتظرت أياماً - أو حتى سنوات - قبل تفعيل حمولتها الخبيثة، مما سمح لها بتجاوز مراجعات المتاجر وجمع تقييمات إيجابية من المستخدمين. "الخلايا النائمة" بقيت هادئة، تبني قاعدة مستخدمين أوفياء، قبل أن تتحول إلى أدوات هجوم عبر تحديثات روتينية. تسع إضافات لا تزال نشطة، بينما يُعتقد أن 85 أخرى جاهزة للتفعيل مستقبلاً.

الأدلة التقنية دامغة: خوادم القيادة والتحكم مستضافة على Alibaba Cloud، آثار لغة صينية في الشيفرة، وعمليات احتيال استهدفت منصات مثل JD.com وTaobao. نطاق الحملة واسع - الإضافات طلبت الوصول إلى أكثر من 28 منصة مؤتمرات فيديو مختلفة، غالباً دون حاجة مشروعة.

ما بعد خطر المستهلك: تجسس صناعي على نطاق واسع

على عكس عمليات الاحتيال الاستهلاكية التقليدية، صُممت إضافات DarkSpectre لغرف الاجتماعات، لا لغرف المعيشة. من خلال سرقة اجتماعات سرية، وتفاصيل المشاركين، وبيانات الجلسات، أنشأت المجموعة كنزاً للهندسة الاجتماعية وهجمات انتحال الهوية. وكما يحذر الباحثون الأمنيون، فإن هذه الحملات "مجرد قمة جبل الجليد" - مع المزيد من الإضافات النائمة التي تنتظر، تبني الثقة قبل الموجة التالية من الهجمات.

الخلاصة

قصة DarkSpectre تذكير صارخ بأن الثقة في البرمجيات - وخاصة إضافات المتصفح - قد تكون في غير محلها بشكل خطير. ومع تطور أساليب مجرمي الإنترنت وتغلغلهم أعمق في حياتنا الرقمية، فإن اليقظة والشفافية والمراقبة المستمرة هي الدفاعات الوحيدة ضد الغزو الخفي الذي يحدث داخل متصفحاتنا.

ويكي كروك

إضافة متصفح: إضافة المتصفح هي أداة صغيرة تعزز ميزات المتصفح، لكنها قد تُستغل أيضاً من قبل القراصنة لسرقة البيانات أو التجسس على المستخدمين.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم قيادة وتحكم، لتوجيهه للقيام بإجراءات محددة، أحياناً لأغراض خبيثة.
احتيال بالعمولات: احتيال العمولات يشمل التلاعب ببرامج الشراكة لكسب عمولات بشكل غير شرعي عبر نقرات أو عملاء أو مبيعات وهمية.
قنبلة منطقية: القنبلة المنطقية هي شيفرة خبيثة مخفية تُفعّل وتسبب ضرراً عند حدوث حدث أو شرط معين داخل نظام الحاسوب.
الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الأشخاص للكشف عن معلومات سرية أو منح وصول غير مصرح به للأنظمة.