اشترك في النشرة الإخبارية لدينا
- كشفت شركة Koi Security عن حملة برمجيات خبيثة قامت باختطاف أكثر من 500000 حساب VKontakte عبر ملحقات Chrome
- أدت الوظائف الإضافية إلى اشتراك الضحايا تلقائيًا في مجموعات VK الخاصة بالمهاجم (1.4 مليون عضو)، والتلاعب برموز CSRF، والإعلانات المحقونة، وسرقة بيانات الدفع
- الحملة مستمرة منذ منتصف عام 2025، ويديرها جهة التهديد “2vk”، والتي تستهدف في المقام الأول المستخدمين الناطقين باللغة الروسية
تم الاستيلاء على أكثر من نصف مليون حساب فكونتاكتي في حملة برامج ضارة نشأت في متجر Google Chrome الإلكتروني.
تم رصد الحملة من قبل باحثين من Koi Security وتضمنت خمسة ملحقات تم الإعلان عنها كتعزيز للمنصة.
وبشكل تراكمي، تم تثبيت الإضافات أكثر من 500000 مرة، وبعد اكتشافها، تمت إزالة واحدة على الأقل من سوق Chrome الإلكتروني. قال Koi إن جميع هذه التهديدات تمت صيانتها بواسطة جهة تهديد واحدة تحمل الاسم المستعار لـ GitHub “2vk”.
ما فائدة المهاجم؟
فكونتاكتي هو في الأساس “الفيسبوك الروسي”. إنها شبكة اجتماعية تشبه إلى حد كبير Facebook ولديها ما يقرب من 650 مليون مستخدم.
أثناء البحث عن كود إعلان ياندكس، وجد الباحثون خمسة امتدادات يمكنها، ظاهريًا، تغيير موضوع النظام الأساسي الاجتماعي وتعزيز تجربة المستخدم.
ومع ذلك، في الخلفية، تقوم البرامج الضارة تلقائيًا بتسجيل المستخدمين في مجموعات VK الخاصة بالمهاجم (والتي يبلغ عددها الآن 1.4 مليون عضو)، وإعادة تعيين إعدادات الحساب كل 30 يومًا لتجاوز تفضيلات المستخدم، والتلاعب برموز CSRF لتجاوز الحماية الأمنية لـ VK، وتتبع حالة التبرع لميزات البوابة وتحقيق الدخل من الضحايا، والحفاظ على التحكم المستمر من خلال حقن الكود متعدد المراحل.
هناك فوائد متعددة لوجود 1.4 مليون شخص في نفس المجموعة، وإمكانية الوصول إلى ملفات تعريف الارتباط CSRF ومعلومات الدفع الخاصة بهم. بالنسبة للمبتدئين، فإنها تزيد من الشرعية الملموسة للوظائف الإضافية، ويمكن عرض الإعلانات والمزيد من البرامج الضارة. وكان أحد هذه الإضافات هو حقن نصوص إعلانات Yandex في كل صفحة يفتحها المستخدم، مما يحقق مكاسب مالية مباشرة للمهاجمين.
أيضًا، من خلال معالجة ملفات تعريف الارتباط CSRF (Cross-Site Request Forgery)، يمكن للمتسلل تنفيذ الإجراءات كضحية، دون الحاجة إلى كلمة مرور. يمكنهم إرسال الرسائل أو الوصول إلى البيانات الخاصة أو حتى تغيير البريد الإلكتروني المخصص للطوارئ.
وأخيرًا، تتضمن البرامج الضارة نظامًا لتتبع “التبرعات” للحصول على “الميزات المتميزة”. الإضافات مجانية، ولكنها تأتي مع نسخة “احترافية” مدفوعة الأجر. وبهذه الطريقة، يفقد الضحايا معلومات بطاقة الائتمان الخاصة بهم، بينما يظلون عرضة للخطر.
ومن المرجح أن الحملة بدأت في منتصف عام 2025 وما زالت مستمرة حتى يومنا هذا. وهو يستهدف في المقام الأول المستخدمين الناطقين بالروسية، على الرغم من أن الضحايا شوهدوا في أوروبا الشرقية وآسيا الوسطى وأماكن أخرى.
عبر السجل
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات