نجحت مجموعة منسقة تضم 108 من إضافات متصفح Chrome الخبيثة في اختراق بيانات حسابات Google وتطبيق Telegram الخاصة بنحو 20,000 مستخدم. وتعتمد هذه الحملة الواسعة، التي اكتشفها باحثو الأمن السيبراني في شركة Socket، على بنية تحتية مشتركة للقيادة والتحكم (C2) لجمع هويات المستخدمين الحساسة، وحقن أكواد JavaScript عشوائية، وتنفيذ انتهاكات على مستوى المتصفح عبر كل صفحة ويب تتم زيارتها.
وتجاوزت هذه الإضافات الخبيثة الفحوصات الأمنية في متجر Chrome Web Store عبر التخفي كأدوات مساعدة مشروعة، بما في ذلك برامج إدارة تطبيق Telegram، وأدوات ترجمة النصوص، وألعاب بسيطة مثل ماكينات القمار. ونشر المهاجمون هذه الإضافات تحت خمس هويات نشر مختلفة: Yana Project، وGameGen، وSideGames، وRodeo Games، وInterAlt. ورغم تنوع الوظائف المعلنة للإيقاع بأكبر عدد من الضحايا، فإن جميع الإضافات البالغ عددها 108 تقوم بتوجيه بيانات الاعتماد المسروقة وبيانات التصفح إلى خادم خلفي واحد يستضيفه عنوان IP رقم 144.126.135[.]238.
ووفقاً للتحليل التقني، تستخدم الحملة عدة نواقل هجوم مختلفة بناءً على الإضافة المثبتة. وحدد الباحثون مجموعة واسعة من السلوكيات الخبيثة المصممة لزيادة استخراج البيانات وعائدات الإعلانات إلى أقصى حد.
- تقوم 54 إضافة بسرقة هويات حسابات Google بنشاط عبر بروتوكول OAuth2.
- تحتوي 45 إضافة على باب خلفي شامل يجبر المتصفح على فتح روابط عشوائية بمجرد بدء التشغيل.
- تعمل عدة إضافات على تسريب رموز جلسات Telegram Web كل 15 ثانية.
- تستغل خمس إضافات واجهة برمجة التطبيقات declarativeNetRequest الخاصة بمتصفح Chrome لإزالة ترويسات الأمان (مثل Content Security Policy، وX-Frame-Options، وCORS) من مواقع مثل YouTube وTikTok لحقن إعلانات المقامرة.
وسلط الباحثون الضوء على عدة إضافات عالية الخطورة بالاسم. حيث تقوم إضافة Telegram Multi-account (بمعرف: obifanppcpchlehkjipahhphbcbjekfa) باستخراج رمز user_auth الذي يستخدمه إصدار Telegram Web، مما يتيح للمهاجمين اختراق الجلسة. كما يمكنها الكتابة فوق التخزين المحلي لفرض تحميل جلسة يوفرها المهاجم. وبالمثل، تقوم إضافة Web Client for Telegram - Teleside (بمعرف: mdcfennpfgkngnibjbpnpaafcjnhcjno) بحقن نصوص برمجية مصممة خصيصاً لسرقة جلسات تطبيق Telegram.
وفي الوقت نفسه، تلتقط لعبة Formula Rush Racing Game (بمعرف: akebbllmckjphjiojeioooidhnddnplj) تفاصيل حساب Google بمجرد نقر الضحية على زر تسجيل الدخول. وتشمل هذه البيانات المسروقة البريد الإلكتروني للمستخدم، والاسم الكامل، ورابط صورة الملف الشخصي، ومعرف حساب Google.
كيفية حماية نظامك من إضافات متصفح Chrome الخبيثة
- افتح المتصفح وانتقل إلى قائمة الإضافات لمراجعة جميع الملحقات المثبتة.
- قم بإلغاء تثبيت أي إضافات تم نشرها بواسطة Yana Project، أو GameGen، أو SideGames، أو Rodeo Games، أو InterAlt على الفور.
- افتح تطبيق Telegram على الهاتف المحمول، وانتقل إلى الإعدادات (Settings)، ثم اختر الأجهزة (Devices)، وقم بإنهاء جميع جلسات Telegram Web النشطة لإبطال الرموز المسروقة.
- راجع إعدادات أمان حساب Google الخاص بك وقم بإلغاء وصول OAuth لأي تطبيقات خارجية غير معروفة.
التهديد المتصاعد لاختطاف الجلسات
يسلط اكتشاف هذه الإضافات الخبيثة الضوء على تحول حاسم في كيفية تجاوز المهاجمين للبروتوكولات الأمنية الحديثة. فمن خلال استهداف رموز جلسات Telegram Web وهويات Google OAuth2 مباشرة، يمكن للمهاجمين تجاوز المصادقة الثنائية (2FA) التقليدية بالكامل. وبمجرد تسريب رمز الجلسة إلى خادم القيادة والتحكم (C2) الخاص بالمهاجم، فإنه يكتسب وصولاً فورياً وغير مقيد إلى الرسائل والحسابات الخاصة دون الحاجة إلى كلمة مرور الضحية.
علاوة على ذلك، يوفر وجود تعليقات باللغة الروسية داخل الكود المصدري لعدة إضافات دليلاً قوياً حول أصل المطورين، على الرغم من أن الإسناد النهائي لا يزال غير مؤكد. وتكشف هذه الحملة أيضاً عن نقاط ضعف مستمرة في عملية الفحص الآلي لمتجر Chrome Web Store. إن حقيقة قيام 20,000 مستخدم بتثبيت هذه الإضافات قبل وضع علامة على البنية التحتية الخلفية المشتركة تشير إلى أن شركة Google يجب أن تنفذ تحليلاً سلوكياً أكثر صرامة للإضافات التي تطلب الوصول إلى واجهة برمجة التطبيقات declarativeNetRequest.
