في عالم التكنولوجيا المتطورة، تتزايد التهديدات الأمنية بشكل ملحوظ. واحدة من هذه التهديدات هي حملات ملحقات المتصفح DarkSpectre التي أثرت على ملايين المستخدمين حول العالم.
كشف حملات ملحقات المتصفح DarkSpectre بعد تأثيرها على 8.8 مليون مستخدم حول العالم
تمت نسبة الفاعل المهدد وراء حملتي ملحقات المتصفح الخبيثة، ShadyPanda وGhostPoster، إلى حملة هجوم ثالثة تحمل اسم DarkSpectre، والتي أثرت على 2.2 مليون مستخدم من مستخدمي Google Chrome وMicrosoft Edge وMozilla Firefox.
يُعتقد أن هذه الأنشطة هي من عمل فاعل مهدد صيني تتبعه شركة Koi Security تحت اسم DarkSpectre. وقد أثرت الحملات مجتمعة على أكثر من 8.8 مليون مستخدم على مدار أكثر من سبع سنوات.
حملة ShadyPanda
تم الكشف عن ShadyPanda من قبل الشركة الأمنية في وقت سابق من هذا الشهر، حيث استهدفت مستخدمي المتصفحات الثلاثة لتسهيل سرقة البيانات، وقرصنة استعلامات البحث، والاحتيال بالعمولة. وقد وُجد أنها تؤثر على 5.6 مليون مستخدم، بما في ذلك 1.3 مليون ضحية تم التعرف عليها حديثًا من أكثر من 100 ملحق تم الإشارة إلى ارتباطها بنفس المجموعة.
يتضمن ذلك أيضًا إضافة Edge المسماة “New Tab – Customized Dashboard” التي تحتوي على قنبلة منطقية تنتظر ثلاثة أيام قبل تفعيل سلوكها الخبيث. إن التفعيل المتأخر هو محاولة لإعطاء انطباع بأنها شرعية خلال فترة المراجعة والحصول على الموافقة.
تسعة من هذه الملحقات نشطة حاليًا، مع 85 “نائمًا خاملاً” أخرى تعتبر غير ضارة ومصممة لجذب قاعدة مستخدمين قبل أن يتم تسليحها من خلال تحديثات خبيثة. قالت Koi إن التحديثات تم إدخالها بعد أكثر من خمس سنوات في بعض الحالات.
حملة GhostPoster
تركز الحملة الثانية، GhostPoster، بشكل أساسي على مستخدمي Firefox، حيث تستهدفهم بأدوات تبدو غير ضارة وأدوات VPN لتقديم كود JavaScript خبيث مصمم لقرصنة روابط العمولة، وإدخال كود تتبع، وارتكاب احتيال على النقرات والإعلانات. وقد كشفت التحقيقات الإضافية عن المزيد من إضافات المتصفح، بما في ذلك ملحق Google Translate (المطور “charliesmithbons”) لـ Opera الذي يحتوي على ما يقرب من مليون تثبيت.
حملة DarkSpectre الثالثة
الحملة الثالثة التي أطلقها DarkSpectre هي The Zoom Stealer، والتي تتضمن مجموعة من 18 ملحقًا عبر Chrome وEdge وFirefox موجهة نحو جمع معلومات اجتماعات الشركات من خلال جمع بيانات متعلقة بالاجتماعات عبر الإنترنت مثل روابط الاجتماعات مع كلمات المرور المدمجة، ومعرفات الاجتماعات، والمواضيع، والوصف، والأوقات المجدولة، وحالة التسجيل.
قائمة الملحقات المحددة ومعرفاتها أدناه –
Google Chrome –
- Chrome Audio Capture (kfokdmfpdnokpmpbjhjbcabgligoelgp)
- ZED: Zoom Easy Downloader (pdadlkbckhinonakkfkdaadceojbekep)
- X (Twitter) Video Downloader (akmdionenlnfcipmdhbhcnkighafmdha)
- Google Meet Auto Admit (pabkjoplheapcclldpknfpcepheldbga)
- Zoom.us Always Show “Join From Web” (aedgpiecagcpmehhelbibfbgpfiafdkm)
- Timer for Google Meet (dpdgjbnanmmlikideilnpfjjdbmneanf)
- CVR: Chrome Video Recorder (kabbfhmcaaodobkfbnnehopcghicgffo)
- GoToWebinar & GoToMeeting Download Recordings (cphibdhgbdoekmkkcbbaoogedpfibeme)
- Meet auto admit (ceofheakaalaecnecdkdanhejojkpeai)
- Google Meet Tweak (Emojis, Text, Cam Effects) (dakebdbeofhmlnmjlmhjdmmjmfohiicn)
- Mute All on Meet (adjoknoacleghaejlggocbakidkoifle)
- Google Meet Push-To-Talk (pgpidfocdapogajplhjofamgeboonmmj)
- Photo Downloader for Facebook, Instagram, + (ifklcpoenaammhnoddgedlapnodfcjpn)
- Zoomcoder Extension (ebhomdageggjbmomenipfbhcjamfkmbl)
- Auto-join for Google Meet (ajfokipknlmjhcioemgnofkpmdnbaldi)
Microsoft Edge –
- Edge Audio Capture (mhjdjckeljinofckdibjiojbdpapoecj)
Mozilla Firefox –
- Twiter X Video Downloader ({7536027f-96fb-4762-9e02-fdfaedd3bfb5}, published by “invaliddejavu”)
- x-video-downloader ([email protected], published by “invaliddejavu”)
كما يتضح من أسماء الملحقات، فإن الغالبية منها مصممة لتقليد أدوات تطبيقات مؤتمرات الفيديو الموجهة نحو الشركات مثل Google Meet وZoom وGoTo Webinar لسرقة روابط الاجتماعات، والاعتمادات، وقوائم المشاركين عبر اتصال WebSocket في الوقت الحقيقي.
كما أنها قادرة على جمع تفاصيل حول المتحدثين والمضيفين في الندوات، مثل الأسماء، والعناوين، والسير الذاتية، وصور الملف الشخصي، والانتماءات الشركات، بالإضافة إلى الشعارات، والرسوم الترويجية، وبيانات الجلسات، في كل مرة يزور فيها المستخدم صفحة تسجيل الندوة عبر الإنترنت من خلال المتصفح مع تثبيت أحد الملحقات.
تم العثور على هذه الإضافات تطلب الوصول إلى أكثر من 28 منصة مؤتمرات فيديو، بما في ذلك Cisco WebEx وGoogle Meet وGoTo Webinar وMicrosoft Teams وZoom، وغيرها، بغض النظر عما إذا كانت تتطلب الوصول إليها في المقام الأول.
قال الباحثون توفال أدوموني وجال هاشاموف: “هذا ليس احتيالًا استهلاكيًا – هذه بنية تحتية للتجسس على الشركات. تمثل The Zoom Stealer شيئًا أكثر استهدافًا: جمع منهجي لمعلومات اجتماعات الشركات. حصل المستخدمون على ما تم الإعلان عنه. كسبت الملحقات الثقة والتقييمات الإيجابية. في حين كانت المراقبة تعمل في الخلفية بصمت.”
قالت الشركة الأمنية إن المعلومات المجمعة يمكن استخدامها لتغذية التجسس على الشركات من خلال بيع البيانات إلى فاعلين سيئين آخرين، وتمكين عمليات الهندسة الاجتماعية وعمليات الانتحال على نطاق واسع.
تستند الروابط الصينية إلى العملية على عدة أدلة: الاستخدام المستمر لخوادم القيادة والتحكم (C2) المستضافة على Alibaba Cloud، وتسجيلات مزود المحتوى على الإنترنت (ICP) المرتبطة بالمقاطعات الصينية مثل هوبى، وقطع الشيفرة التي تحتوي على سلاسل وتعليقات باللغة الصينية، ومخططات الاحتيال المستهدفة بشكل خاص نحو منصات التجارة الإلكترونية الصينية مثل JD.com وTaobao.
قالت Koi: “من المحتمل أن يكون لدى DarkSpectre المزيد من البنية التحتية في الوقت الحالي – ملحقات تبدو شرعية تمامًا لأنها شرعية، في الوقت الحالي. إنهم لا يزالون في مرحلة بناء الثقة، يجمعون المستخدمين، ويكتسبون الشارات، وينتظرون.”
تظل التهديدات مثل DarkSpectre تذكيرًا بأهمية الأمان السيبراني وضرورة اتخاذ الاحتياطات اللازمة لحماية المعلومات الشخصية والبيانات الحساسة.
