حذرت تقارير متخصصة، من وجود حملة برمجيات خبيثة، تستهدف مستخدمي المتصفحات الشهيرة كروم.
هذه الأنباء أثارت تخوفات، بشأن أكثر من 300 ألف جهاز حول العالم بحسب موقع “thehackernews”.
البداية كانت برصد فريق أبحاث ReasonLabs، حملة برمجيات خبيثة واسعة النطاق، تقوم بتثبيت ملحقات ضارة على متصفح كروم Chrome من جوجل، ومتصفح Edge التابع لشركة مايكروسوفت.
ملحقات خبيثة تستهدف 300 ألف متصفح كروم.. ماذا يحدث؟
وتحتوي هذه الماحقات على فيروس حصان طروادة الخطير، والذي يتم توزيعه عبر مواقع الويب المزيفة التي تتنكر في صورة برامج شائعة.
وذكر الفريق، أن برامج حصان طروادة الضار يحتوي على مخرجات مختلفة تتراوح من امتدادات برامج الإعلانات المتسللة البسيطة التي تسرق عمليات البحث، بالإضافة إلى البرامج النصية الضارة الأكثر تعقيدا التي توفر امتدادات محلية لسرقة البيانات الخاصة وتنفيذ أوامر مختلفة على الجهاز المخترق.
وتابع أن هذا النوع من برامج طروادة الضارة موجودة منذ عام 2021، وهي تعمل على تقليد مواقع التنزيل التي تحتوي على وظائف إضافية للألعاب ومقاطع الفيديو عبر الإنترنت.
وتتمتع هذه الملحقات المزودة بالبرامج الضارة، بشعبية كبيرة حيث يستخدمها ما لا يقل عن 300.000 مستخدم لمتصفحي جوجل كروم ومايكروسوفت إيدج، مما يشير إلى أن البرمجيات الخبيثة منتشرة على نطاق واسع.
حملة البرمجيات الخبيثة، تهدف إلى نشر الإعلانات الضارة المتعلقة بمواقع الويب المشابهة التي تروج لبرامج معروفة مثل Roblox FPS Unlocker أو يوتيوب أو مشغل وسائط VLC أو Steam أو KeePass لخداع المستخدمين الذين يبحثون عن هذه البرامج لتنزيل حصان طروادة، الذي يعمل كـ قناة لتثبيت ملحقات المتصفح.
وتعمل أدوات التثبيت الضارة مهمة مجدولة، والتي بدورها يتم تكوينها لتنفيذ برنامج PowerShell النصي المسؤول عن تنزيل وتنفيذ حمولة البرامج الضارة في المرحلة التالية التي يتم جلبها من خادم بعيد.
كما تضطلع بتعديل سجل ويندوز لفرض تثبيت الملحقات من متجر كروم على الويب، ومتجر ملحقات مايكروسوفت إيدج، مما يمنحها القدرة على الاستيلاء على استعلامات البحث على محرك جوجل ومايكروسوفت Bing وإعادة توجيهها عبر خوادم يتحكم فيها المهاجم.
فريق ReasonLabs: “ قال إنه لا يمكن للمستخدم تعطيل الامتداد، حتى مع تشغيل وضع المطور، والإصدارات الأحدث من البرنامج النصي تزيل تحديثات المتصفح”.
وكما تطلق البرمجية الخبيثة أيضا ملحقا محليا يتم تنزيله مباشرة من خادم القيادة والتحكم (C2)، ويأتي بقدرات واسعة لاعتراض جميع طلبات الويب وإرسالها إلى الخادم، وتلقي الأوامر والبرامج النصية المشفرة، وحقن البرامج النصية وتحميلها في جميع الصفحات، وعلاوة على ذلك، فهو يخطف استعلامات البحث من محركات البحث Bing وجوجل، ويوجهها عبر خوادمه ثم إلى محركات البحث الأخرى.