الصفحات
بحث
احذر! 840 ألف تثبيت لملحقات GhostPoster خبيثة
الأمن السيبراني #أمن_سيبراني #ملحقات_خبيثة

احذر! 840 ألف تثبيت لملحقات GhostPoster خبيثة

تاريخ النشر: آخر تحديث: 58 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
58 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

تم اكتشاف مجموعة أخرى من 17 ملحقًا خبيثًا مرتبطًا بحملة GhostPoster في متاجر Chrome و Firefox و Edge، حيث جمعت ما مجموعه 840,000 عملية تثبيت.

تم الإبلاغ عن حملة GhostPoster لأول مرة من قبل باحثي Koi Security في ديسمبر. ووجدوا 17 ملحقًا كانت تخفي تعليمات برمجية JavaScript ضارة في صور شعاراتها، والتي كانت تراقب نشاط المتصفح وتزرع بابًا خلفيًا.

يجلب الكود حمولة مشوشة للغاية من مورد خارجي، والتي تتتبع نشاط تصفح الضحية، وتختطف روابط الإحالة على منصات التجارة الإلكترونية الرئيسية، وتحقن إطارات iframe غير مرئية للاحتيال الإعلاني والنقري.

يشير تقرير جديد من منصة أمان المتصفح LayerX إلى أن الحملة لا تزال مستمرة على الرغم من تعرضها، وأن الملحقات الـ 17 التالية جزء منها:

  • Google Translate in Right Click – 522,398 تثبيت
  • Translate Selected Text with Google - 159,645 تثبيت
  • Ads Block Ultimate – 48,078 تثبيت
  • Floating Player – PiP Mode – 40,824 تثبيت
  • Convert Everything – 17,171 تثبيت
  • Youtube Download – 11,458 تثبيت
  • One Key Translate – 10,785 تثبيت
  • AdBlocker – 10,155 تثبيت
  • Save Image to Pinterest on Right Click – 6,517 تثبيت
  • Instagram Downloader – 3,807 تثبيت
  • RSS Feed – 2,781 تثبيت
  • Cool Cursor – 2,254 تثبيت
  • Full Page Screenshot – 2,000 تثبيت
  • Amazon Price History – 1,197 تثبيت
  • Color Enhancer – 712 تثبيت
  • Translate Selected Text with Right Click – 283 تثبيت
  • Page Screenshot Clipper – 86 تثبيت

وفقًا للباحثين، نشأت الحملة على Microsoft Edge ثم توسعت إلى Firefox و Chrome.

وجدت LayerX أن بعض الملحقات المذكورة أعلاه موجودة في متاجر إضافات المتصفح منذ عام 2020، مما يشير إلى عملية ناجحة طويلة الأجل.

تطور أساليب الهجوم

على الرغم من أن قدرات التهرب وما بعد التنشيط تظل كما هي في الغالب كما وثقتها Koi سابقًا، فقد حددت LayerX متغيرًا أكثر تقدمًا في ملحق "Instagram Downloader".

يكمن الاختلاف في نقل منطق التدريج الضار إلى البرنامج النصي للخلفية الخاص بالملحق واستخدام ملف صورة مجمّع كحاوية حمولة سرية بدلاً من مجرد رمز. كما تظهر الصورة 1.

أثناء وقت التشغيل، يقوم البرنامج النصي للخلفية بمسح وحدات البايت الأولية للصورة بحثًا عن محدد معين (>>>>)، واستخراج البيانات المخفية وتخزينها في وحدة تخزين الملحق المحلية، ثم يقوم لاحقًا بفك تشفير Base64 وتنفيذها كـ JavaScript.

تعلق LayerX على أحدث متغير GhostPoster: "يوضح تدفق التنفيذ التدريجي هذا تطورًا واضحًا نحو الكمون الأطول والوحدات النمطية والمرونة ضد آليات الكشف الثابتة والسلوكية".

قال الباحثون إن الملحقات التي تم تحديدها حديثًا لم تعد موجودة في متاجر الإضافات الخاصة بـ Mozilla و Microsoft. ومع ذلك، قد يظل المستخدمون الذين قاموا بتثبيتها في متصفحاتهم في خطر.

اتصلت BleepingComputer بـ Google بشأن الملحقات الموجودة في Chrome Web Store، وأكد متحدث باسم الشركة أنه تمت إزالة جميعها.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##ملحقات_خبيثة ##GhostPoster

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!