«أفاست»: برمجيات خبيثة تتخفى في 28 ملحقاً بـ «كروم» و«إيدج»
فرقة إجرامية تشنّ هجمات «اختطاف روابط» طالت 3 ملايين مستخدم
كشف باحثون في أمن المعلومات عن مجموعة إجرامية محترفة أطلقت 28 برنامجاً خبيثاً لاستهداف مستخدمي الإنترنت حول العالم، بنوعية جديدة من الهجمات تحمل اسم «اختطاف الروابط»، ويتم فيها توجيه المستخدمين عنوة، إما إلى مواقع سبق تحديدها بمعرفة المجرمين لرفع مستوى عدد الزائرين إليها، نظير الحصول على مقابل مادي من أصحابها، أو توجيه المستخدمين عنوة إلى مواقع «تصيد احتيالي» وبرمجيات خبيثة، تستخدم في شن هجمات أخرى أكثر تعقيداً.
وقد اكتشف الهجمات والبرمجيات الخبيثة المستخدمة بها، باحثو «استخبارات التهديدات الأمنية» في شركة «أفاست» المتخصصة في منتجات الأمان والخصوصية الرقمية، ونشروا بياناً تفصيلياً، أول من أمس، حول ملابساتها في «غرفة الأخبار» بموقع الشركة press.avast.com، مؤكدين أن تلك الهجمات جارية، وطالت حتى الآن ثلاثة ملايين شخص حول العالم، والرقم يتزايد بمعدلات سريعة.
برمجيات خبيثة
وقال خبير رصد واكتشاف وتتبع البرامج الضارة في شركة «أفاست» عضو الفريق مكتشف الهجمات، جان روبون، إن الفريق اشتبه في وجود هذه البرمجيات الخبيثة، في نوفمبر الماضي، وبدأ يتتبعها حتى تمكن من رصد الهجمات وآلياتها ونطاقها خلال ديسمبر الجاري.
وطبقاً لعمليات الرصد والتتبع، تبين أن المجرمين يستخدمون 28 برنامجاً خبيثاً متخفياً في 28 من الملحقات البرمجية، التي يثبّتها المستخدمون على شكل إضافات داخل متصفحي «كروم» و«إيدج»، للقيام بوظائف معينة.
وأكد روبون أنه تم اكتشاف «كود» برمجي خبيث مخبأ ضمن «كود» الملحقات البرمجية المبنية بلغة «جافا سكريبت»، الأوسع انتشاراً واستخداماً من قبل مطوري الـ«ويب»، ويجبر هذا الكود الخبيث الملحقات البرمجية على تنزيل البرامج الضارة على برامج المستخدم، طبقاً لما يحدده المجرمون.
وطالب الخبراء جميع مستخدمي متصفحي «كروم» و«إيدج»، الذين قاموا بتنزيل وتثبيت أي من هذه الملحقات على متصفحاتهم، بحذفها على الفور، ليتفادوا التعرض للهجمة الحالية، أو لزرع مزيد من البرمجيات الضارة على أجهزتهم.
الأهداف والآلية
وحول آليات الهجمة وأهدافها، قال الباحثون إن الفرقة أنشأت الملحقات البرمجية، إما بشكل متعمد باستخدام البرامج الضارة المخفية، أو انتظرت حتى أصبحت الملحقات شائعة وواسعة الانتشار، ثم دفعت إليها بتحديث يحتوي على البرامج الضارة وبدأت الهجمة، كما أن من المحتمل أن يكون المجرمون باعوا الملحقات الأصلية لأشخاص آخرين بعد إنشائها، ثم قدم المشتري البرامج الضارة بعد ذلك.
وبمجرد تشغيل الأكواد الخبيثة المخفية في الملحقات البرمجية للمتصفحات، فإن هذه الملحقات تتلاعب في أنشطة وسلوك المستخدمين على الإنترنت، وتعيد توجيههم إلى مواقع «ويب» غير التي يريدونها، ففي أي وقت يضغط المستخدم على رابط، ترسل الملحقات الملوثة بالبرمجيات الخبيثة معلومات حول النقرة إلى «خادم» التحكم التابع للمهاجم، الذي يمكنه اختيارياً إرسال أمر لإعادة توجيه الضحية من الرابط الحقيقي الذي يريد الوصول إليه أو زيارته، ويوجهه إلي رابط العنوان الذي يريده المجرم أو المهاجم، ليزوره عنوه، ولذلك يطلق على الهجمة «اختطاف الروابط».
أما الموقع الذي تتم زيارته قسراً، فإما أن يكون موقعاً يريد رفع حركة المرور إليه، لتحقيق الرواج والشهرة، واستعان بالعصابة لتحقيق ذلك، نظير مقابل مادي عن كل زيارة مختطفة، وأعيد توجيهها للموقع، أو أن يكون موقعاً تابعاً للمجرمين مباشرة، ومخصصاً للتصيد الاحتيالي والبرمجيات الخبيثة الأخرى، بغرض تنزيلها على الكمبيوتر، واستخدامها في ما بعد في شن هجمات أشد عنفاً وخطورة، مثل التحكم في الكمبيوتر عن البعد وسرقة البيانات.