برامج ضارة تهدد 300 ألف مستخدم لـ كروم
أفادت تقارير حديثة عن انتشار حملة برمجيات خبيثة تستهدف مستخدمي المتصفحات الشهيرة كروم وإيدج، مما أثر على أكثر من 300 ألف جهاز حول العالم.
حملة برمجيات خبيثة
وذكر موقع “thehackernews”، نقلاً عن فريق أبحاث ReasonLabs، أن حملة برمجيات خبيثة واسعة النطاق، تقوم بتثبيت ملحقات ضارة على متصفح كروم Chrome من جوجل، ومتصفح Edge التابع لشركة مايكروسوفت، والتي تحتوي على فيروس حصان طروادة الخطير، والذي يتم توزيعه عبر مواقع الويب المزيفة التي تتنكر في صورة برامج شائعة.
أوضح أبحاث ReasonLabs، إن برامج حصان طروادة الضار يحتوي على مخرجات مختلفة تتراوح من امتدادات برامج الإعلانات المتسللة البسيطة التي تسرق عمليات البحث، بالإضافة إلى البرامج النصية الضارة الأكثر تعقيدًا التي توفر امتدادات محلية لسرقة البيانات الخاصة وتنفيذ أوامر مختلفة على الجهاز المخترق.
برامج تهدد 300 ألف متصفح
ويشير التقرير، إلى أن هذا النوع من برامج طروادة الضارة موجودة منذ عام 2021، وهي تعمل على تقليد مواقع التنزيل التي تحتوي على وظائف إضافية للألعاب ومقاطع الفيديو عبر الإنترنت.
وتتمتع هذه الملحقات المزودة بالبرامج الضارة، بشعبية كبيرة حيث يستخدمها ما لا يقل عن 300.000 مستخدم لمتصفحي جوجل كروم ومايكروسوفت إيدج، مما يشير إلى أن البرمجيات الخبيثة منتشرة على نطاق واسع.
إعلانات ضارة
وتهدف حملة البرمجيات الخبيثة، إلى نشر الإعلانات الضارة المتعلقة بمواقع الويب المشابهة التي تروج لبرامج معروفة مثل Roblox FPS Unlocker أو يوتيوب أو مشغل وسائط VLC أو Steam أو KeePass لخداع المستخدمين الذين يبحثون عن هذه البرامج لتنزيل حصان طروادة، الذي يعمل كـ قناة لتثبيت ملحقات المتصفح.
وتعمل أدوات التثبيت الضارة مهمة مجدولة، والتي بدورها يتم تكوينها لتنفيذ برنامج PowerShell النصي المسؤول عن تنزيل وتنفيذ حمولة البرامج الضارة في المرحلة التالية التي يتم جلبها من خادم بعيد.
متجر كرم
وتتضمن مهامها الأخرى تعديل سجل ويندوز لفرض تثبيت الملحقات من متجر كروم على الويب، ومتجر ملحقات مايكروسوفت إيدج، مما يمنحها القدرة على الاستيلاء على استعلامات البحث على محرك جوجل ومايكروسوفت Bing وإعادة توجيهها عبر خوادم يتحكم فيها المهاجم.
وقال فريق ReasonLabs: “إنه لا يمكن للمستخدم تعطيل الامتداد، حتى مع تشغيل وضع المطور، والإصدارات الأحدث من البرنامج النصي تزيل تحديثات المتصفح”.
اعتراض طلبات الويب
وكما تطلق البرمجية الخبيثة أيضا ملحقًا محليًا يتم تنزيله مباشرة من خادم القيادة والتحكم (C2)، ويأتي بقدرات واسعة لاعتراض جميع طلبات الويب وإرسالها إلى الخادم، وتلقي الأوامر والبرامج النصية المشفرة، وحقن البرامج النصية وتحميلها في جميع الصفحات.
وعلاوة على ذلك، فهو يخطف استعلامات البحث من محركات البحث Bing وجوجل، ويوجهها عبر خوادمه ثم إلى محركات البحث الأخرى.