في عالم متزايد من التهديدات السيبرانية، تظهر حملات جديدة تستهدف مستخدمي ميتا من خلال إضافات مزيّفة. دعونا نستعرض التفاصيل.
تسريبات جديدة حول إضافات مزيّفة تسرق حسابات الأعمال على ميتا
كشف باحثو الأمن السيبراني عن حملتين جديدتين تقومان بتوزيع إضافات متصفح مزيّفة باستخدام إعلانات خبيثة ومواقع وهمية لسرقة البيانات الحساسة.
تستهدف الحملة الخبيثة، وفقًا لشركة Bitdefender، دفع إضافات متصفح مزيّفة تُدعى SocialMetrics Pro، والتي تدعي أنها تفتح شارة التحقق الزرقاء لملفات تعريف فيسبوك وإنستغرام. تم ملاحظة ما لا يقل عن 37 إعلانًا خبيثًا يقوم بتوزيع الإضافة المذكورة.
تأتي الإعلانات الخبيثة مصحوبة بدليل فيديو يوجه المشاهدين خلال عملية تحميل وتثبيت ما يُسمى بإضافة المتصفح، والتي تدعي أنها تفتح علامة التحقق الزرقاء على فيسبوك أو ميزات خاصة أخرى، حسبما ذكرت الشركة الرومانية المتخصصة في الأمن السيبراني.
لكن في الواقع، الإضافة – التي تستضيف على خدمة سحابية شرعية تُدعى Box – قادرة على جمع ملفات تعريف الارتباط الخاصة بجلسات فيسبوك وإرسالها إلى روبوت Telegram يتحكم به المهاجمون. كما أنها مزودة بقدرة على الحصول على عنوان IP الخاص بالضحية من خلال إرسال استعلام إلى ipinfo[.]io/json.
تم ملاحظة بعض المتغيرات من الإضافة المزيّفة تستخدم ملفات تعريف الارتباط المسروقة للتفاعل مع واجهة برمجة تطبيقات فيسبوك (Facebook Graph API) لجمع معلومات إضافية تتعلق بالحسابات. في السابق، استخدمت البرمجيات الخبيثة مثل NodeStealer واجهة برمجة تطبيقات فيسبوك لجمع تفاصيل الميزانية للحساب.
الهدف النهائي من هذه الجهود هو بيع حسابات الأعمال والإعلانات القيمة على المنتديات السرية لتحقيق الربح لمحتالين آخرين، أو إعادة استخدامها لدعم المزيد من الحملات الخبيثة، مما يؤدي بدوره إلى المزيد من الحسابات المخترقة – مما يخلق دورة ذاتية الاستدامة.
استراتيجيات المهاجمين
تظهر الحملة جميع “البصمات” المرتبطة عادةً بالجهات الفاعلة الناطقة باللغة الفيتنامية، المعروفة باستخدام عائلات مختلفة من البرمجيات الخبيثة لاستهداف والوصول غير المصرح به إلى حسابات فيسبوك. تدعم هذه الفرضية أيضًا استخدام اللغة الفيتنامية في سرد الدليل وإضافة تعليقات على الكود.
قالت Bitdefender: “من خلال استخدام منصة موثوقة، يمكن للمهاجمين إنشاء روابط بكميات كبيرة، ودمجها تلقائيًا في الدروس، وتجديد حملاتهم باستمرار”. “يتناسب هذا مع نمط أكبر من المهاجمين الذين يقومون بتصنيع الإعلانات الخبيثة بشكل صناعي، حيث يتم إنشاء كل شيء من صور الإعلانات إلى الدروس بشكل جماعي.”
يتزامن هذا الكشف مع حملة أخرى تستهدف المعلنين على ميتا باستخدام إضافات Chrome غير الشرعية الموزعة عبر مواقع وهمية تتظاهر بأنها أدوات تحسين إعلانات مدعومة بالذكاء الاصطناعي لفيسبوك وإنستغرام. في قلب العملية توجد منصة مزيفة تُدعى Madgicx Plus.
قالت Cybereason: “تروّج الإضافة كأداة لتبسيط إدارة الحملات وزيادة العائد على الاستثمار باستخدام الذكاء الاصطناعي، بينما تقدم في الواقع وظائف خبيثة محتملة قادرة على اختراق جلسات الأعمال، وسرقة بيانات الاعتماد، والتسبب في اختراق حسابات ميتا للأعمال.”
“تُروّج الإضافات كمعززات للإنتاجية أو أداء الإعلانات، لكنها تعمل كبرمجيات خبيثة ذات غرض مزدوج قادرة على سرقة بيانات الاعتماد، والوصول إلى رموز الجلسات، أو تمكين اختطاف الحسابات.
تكتسب الإضافة، التي لا تزال متاحة للتنزيل من متجر Chrome حتى كتابة هذه السطور، الوصول الكامل إلى جميع المواقع التي يزورها المستخدم، مما يمكّن المهاجمين من حقن نصوص عشوائية، بالإضافة إلى اعتراض وتعديل حركة المرور الشبكية، ومراقبة نشاط التصفح، والتقاط مدخلات النماذج، وجمع البيانات الحساسة.
كما تطلب من المستخدمين ربط حساباتهم على فيسبوك وجوجل للوصول إلى الخدمة، بينما يتم جمع معلومات هويتهم بشكل سري في الخلفية. علاوة على ذلك، تعمل الإضافات بشكل مشابه للإضافة المزيّفة المذكورة سابقًا من حيث أنها تستخدم بيانات اعتماد فيسبوك المسروقة للتفاعل مع واجهة برمجة تطبيقات فيسبوك.
قالت Cybereason: “تظهر هذه الاستراتيجية الواضحة للمهاجمين: أولاً، جمع بيانات الهوية من جوجل، ثم الانتقال إلى فيسبوك لتوسيع الوصول وزيادة فرص اختطاف الأصول التجارية أو الإعلانية القيمة.”
من المهم أن نكون واعين لهذه التهديدات وأن نتخذ خطوات لحماية حساباتنا على منصات التواصل الاجتماعي. كن حذرًا عند تثبيت أي إضافات جديدة.
