- عثرت LayerX على 17 امتدادًا ضارًا للمتصفحات مع أكثر من 840.000 عملية تنزيل
- اختطفت الإضافات الروابط التابعة، وأدخلت التتبع، ومكّنت الاحتيال الإعلاني
- تمت إزالة كافة الملحقات، ولكن يجب على المستخدمين إلغاء تثبيتها يدويًا
اكتشف باحثو الأمن LayerX 17 امتدادًا لمتصفحات Chrome وFirefox وEdge التي تراقب نشاط الأشخاص على الإنترنت وتثبيت أبواب خلفية للوصول المستمر. في المجمل، تم تنزيل الملحقات أكثر من 840.000 مرة.
هذه ليست حملة جديدة. في الواقع، تدعي LayerX أن هذا هو استمرار لحملة GhostPoster، وهي حملة اكتشفتها Koi Security لأول مرة في منتصف ديسمبر 2025.
في ذلك الوقت، وجد المحققون مجموعة مختلفة مكونة من 17 ملحقًا، تم تنزيلها بشكل تراكمي 50 ألف مرة، وكانت تفعل الشيء نفسه – مراقبة السلوك وتثبيت الأبواب الخلفية.
GhostPoster
فيما يلي القائمة الكاملة لجميع الإضافات المكتشفة:
ترجمة جوجل بالنقر بزر الماوس الأيمن
ترجمة النص المحدد باستخدام GoogleAds Block Ultimate
المشغل العائم – وضع PiP
تحويل كل شيء
تحميل يوتيوب
ترجمة مفتاح واحد
مانع الإعلانات
احفظ الصورة على موقع Pinterest عند النقر بزر الماوس الأيمن
تنزيل الانستقرام
تغذية RSS
المؤشر بارد
لقطة شاشة كاملة للصفحة
تاريخ أسعار أمازون
محسن اللون
ترجمة النص المحدد بالنقر بزر الماوس الأيمن
أداة قص لقطة الشاشة للصفحة
ومن بين هذه الدفعة الجديدة بعض الإضافات التي تم تحميلها لأول مرة في عام 2020، مما يعني أن الأشخاص قد تعرضوا لبرامج ضارة في مستودعات المتصفح الرسمية لسنوات. ويبدو أن متجر Edge هو المكان الذي ظهرت فيه معظم هذه الإضافات لأول مرة، ثم توسعت لاحقًا لتشمل Chrome وFirefox أيضًا.
تقوم بعض الإضافات بتخزين كود JavaScript ضار في شعار PNG. يعمل الكود بمثابة تعليمات حول كيفية تنزيل الحمولة الرئيسية من خادم بعيد. ولجعل عملية الكشف والإسناد أكثر صعوبة، جعل المهاجمون الامتدادات تقوم بتنزيل الحمولة الرئيسية بنسبة 10% من الوقت.
يمكن للحمولة الرئيسية أن تفعل كل أنواع الأشياء. أولاً وقبل كل شيء، يقوم باختطاف الروابط التابعة على مواقع التجارة الإلكترونية الكبرى، مما يؤدي إلى سرقة الأموال مباشرة من منشئي المحتوى.
وبعد ذلك، يقوم بإدخال تتبع Google Analytics في كل صفحة يزورها المستخدم، ويزيل رؤوس الأمان من جميع استجابات HTTP.
وأخيرًا، يمكنه تجاوز اختبار CAPTCHA باستخدام ثلاث آليات منفصلة، ويمكنه إدخال إطارات iframe غير مرئية، تُستخدم في الغالب للاحتيال الإعلاني، والنقر الاحتيالي، والتتبع. يتم تدمير إطارات iframe هذه ذاتيًا بعد 15 ثانية تقريبًا.
في هذه الأثناء، تمت إزالة جميع الملحقات من المستودعات الخاصة بها، ولكن لا يزال يُنصح المستخدمون بإزالتها من متصفحاتهم.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات