إضافات المتصفح الخبيثة ShadyPanda

في مثال صارخ على الاستغلال السيبراني طويل الأمد، شنّت جهة تهديد تُعرف باسم ShadyPanda حملةً استمرت سبع سنوات استهدفت إضافات المتصفحات، وحصدت أكثر من 4.3 مليون عملية تثبيت. تُظهر هذه العملية كيف يُمكن استغلال حتى البرامج الشرعية كسلاح في غياب الرقابة المناسبة.

من الأدوات المشروعة إلى التحديثات الضارة

بدأت خمسة من الإضافات المُخترقة كتطبيقات شرعية، ولكن عُدِّلت بوظائف ضارة في منتصف عام ٢٠٢٤. جذبت هذه التحديثات ما يقرب من ٣٠٠ ألف عملية تثبيت قبل إزالتها في نهاية المطاف. أتاحت التحديثات الضارة تنفيذ برمجيات برمجية عن بُعد كل ساعة، مما سمح للمهاجمين بتنزيل وتشغيل نصوص جافا سكريبت عشوائية مع إمكانية الوصول الكامل إلى المتصفح. بمجرد تفعيلها، تعمل هذه الإضافات على:

• راقب كل موقع ويب قمت بزيارته.
• استخراج سجل التصفح المشفر.
• جمع بصمات المتصفح الكاملة.

من الأمثلة البارزة على ذلك Clean Master، الذي سبق أن تحققت منه جوجل. ساعد وضعه الرسمي ShadyPanda على توسيع قاعدة مستخدميه، مما أتاح تحديثات ضارة دون إثارة الشكوك.

المراقبة الجماعية من خلال الإضافات الشائعة

مجموعة أخرى من خمسة إضافات، بما فيها WeTab، راقبت المستخدمين على نطاق واسع. تتبعت هذه الإضافات عناوين URL، واستعلامات محركات البحث، ونقرات الماوس، وتفاعلات المتصفح الأخرى، ونقلت البيانات إلى خوادم في الصين. إجمالاً، تم تثبيت هذه الإضافات حوالي أربعة ملايين مرة، منها ثلاثة ملايين تثبيت لـ WeTab وحده.

ظهرت المؤشرات المبكرة للسلوك الخبيث في عام 2023، والتي شملت المطورين nuggetsno15 و"rocket Zhang"، الذين نشروا 20 امتدادًا لمتصفح Chrome و125 امتدادًا لمتصفح Edge متخفية في شكل خلفيات أو أدوات إنتاجية.

استغلال الاحتيال التابع واختطاف المتصفح

بدأت إضافات ShadyPanda في البداية بالاحتيال عبر التسويق بالعمولة، حيث كانت تُدخل رموز تتبع إلى مواقع مثل eBay وAmazon وBooking.com لتوليد عمولات غير مشروعة. وبحلول أوائل عام 2024، تطورت هذه الأساليب لتشمل التحكم النشط في المتصفحات، بما في ذلك:

• حصاد استعلام البحث.
• إعادة توجيه عمليات البحث عبر trovi.com، وهو مخترق معروف.
• استخراج ملفات تعريف الارتباط من المجالات المستهدفة.

بحلول منتصف عام ٢٠٢٤، عُدِّلت ثلاثة ملحقات ذات استخدام مشروع طويل الأمد لجلب حمولات جافا سكريبت كل ساعة من "api.extensionplay(dot)com"، وتشغيلها لمراقبة كل زيارة للموقع ونقل البيانات المشفرة إلى "api.cleanmasters(dot)store". حُجِّبت الحمولات بشكل كبير، ودخلت في وضع آمن في حال اكتشاف أدوات المطورين، مما ساعد البرامج الضارة على التهرب من الكشف.

قدرات الهجوم المتقدمة

بالإضافة إلى التتبع، يمكن لهذه الامتدادات تنفيذ هجمات الخصم في المنتصف (AitM)، مما يسهل:

• سرقة بيانات الاعتماد.
• اختطاف الجلسة.
• حقن الكود التعسفي على أي موقع.

تكثفت المراقبة مع إضافات مايكروسوفت إيدج، مثل WeTab، التي رصدت تفاعلات المستخدمين المكثفة، بما في ذلك سلوك التمرير، والوقت المستغرق في الصفحات، وجميع بصمات المتصفح. لم تعد هذه الإضافات متاحة للتنزيل من أسواقها.

الإجراءات الموصى بها للمستخدمين

تطورت هذه الحملة عبر أربع مراحل مختلفة، بدءًا من أدوات مشروعة وصولًا إلى برامج تجسس متطورة. ورغم أنه من غير الواضح ما إذا كان قد تم تضخيم أعداد التنزيلات بشكل مصطنع لتبدو شرعية، إلا أن الخطر على المستخدمين لا يزال شديدًا. لذا، ينبغي على المستخدمين الذين ثبّتوا أيًا من هذه الإضافات إزالتها فورًا وتغيير كلمات المرور لجميع حساباتهم على الإنترنت.

أمثلة على الامتدادات المتأثرة:

• Clean Master: أفضل أداة لتنظيف ذاكرة التخزين المؤقت لمتصفح Chrome
• Speedtest Pro - اختبار سرعة الإنترنت المجاني عبر الإنترنت
• بلوك سايت
• مُبدِّل محرك البحث في شريط العناوين
• علامة تبويب جديدة لـ SafeSwift
• Infinity V+ علامة تبويب جديدة
• OneTab Plus: إدارة علامات التبويب والإنتاجية
• WeTab موجود
• Infinity New Tab للجوال
• علامة تبويب جديدة لا نهاية لها (Pro)
• علامة تبويب جديدة لا نهاية لها
• حلم بعيد علامة تبويب جديدة

يُؤكد نجاح ShadyPanda أن التعقيد التقني وحده ليس ضروريًا، فقد ازدهرت الحملة باستغلال ثغرة أمنية منهجية في أسواق إضافات المتصفحات. تُراجع الإضافات عند تقديمها، لكن سلوكها بعد الموافقة يبقى غير مُراقَب إلى حد كبير. سمحت هذه الفجوة الرقابية طويلة الأمد للأدوات الموثوقة بالتطور بهدوء إلى منصات مراقبة، مما يُبرز الحاجة إلى اليقظة الدائمة، حتى مع وجود برامج مُعتمدة.