43 ألف مستخدم في السعودية واجهوا خطر البرمجيات الإعلانية مختبئة في ملحقات المتصفحات
باتت جميع متصفحات الإنترنت توفر لمستخدميها آلاف الملحقات التي تسهل على المستخدم تصفحه، كونها تسهم في إثراء تجربته على الإنترنت، كما أن بإمكان بعض الإضافات أن تجعل الأجهزة والتصفح أكثر أمانا، مثل أدوات إدارة كلمات المرور، إلا أن قراصنة الإنترنت استغلوا هذا الأمر للقيام بهجماتهم عبر هذه الملحقات للوصول إلى معلومات وبيانات المستخدمين عبر طلب أذونات لا تحتاج إليها لتنفيذ ما تم تطويرها من أجله.
وتأثر أكثر من 17 ألف مستخدم في المملكة من أصل 1.7 مليون مستخدم على مستوى العالم مرة واحدة على الأقل، بالتهديدات المخبأة في ملحقات المتصفحات في النصف الأول من 2022، ويمثل هذا العدد في المملكة أكثر من 25.5 في المائة من عدد المستخدمين المتأثرين بهذا النوع من التهديدات طوال 2021 بأكمله، ويمكن للتهديدات الكامنة في ملحقات المتصفحات إدراج الإعلانات على أجهزة المستخدمين، وجمع البيانات منها حول سجلات التصفح حتى البحث عن بيانات اعتماد تسجيل الدخول إلى مختلف الحسابات الخاصة، ما يجعلها من أكثر الأدوات المرغوب فيها عند مجرمي الإنترنت، وذلك من خلال تقليد تطبيقات وملحقات متصفحات شائعة.
ويمثل التهديد الأبرز الذي انتشر تحت ستار ملحقات المتصفحات في برمجيات الإعلانات، التي تعد برمجيات غير مرغوب فيها مصممة لإظهار الإعلانات على الشاشة، وعادة ما تستند هذه الإعلانات إلى سجل التصفح لجذب اهتمام المستخدمين عبر تضمين لافتات إعلانية في صفحات الويب أو توجيه تلك الصفحات إلى صفحات تابعة للقائمين خلف هذه الإعلانات، ما يمكنهم من كسب المال. ولاحظ التقرير الذي أصدرته شركة Kaspersky لأمن المعلومات أن أكثر من 43 ألف مستخدم فريد في المملكة واجهوا بين كانون الثاني (يناير) 2020 وحزيران (يونيو) 2022، برمجيات إعلانية مختبئة في ملحقات المتصفحات، أي أن نحو 80 في المائة من جميع المستخدمين المتأثرين قد واجهوا هذا التهديد، وهو ما يقابل 4.3 مليون مستخدم على مستوى العالم، أي أن نحو 70 في المائة من جميع المستخدمين المتأثرين قد واجهوا هذا التهديد.
وعثر على إضافات خبيثة وغير مرغوب فيها يجري توزيعها من خلال الأسواق الرسمية. وكانت “جوجل” في 2020 أزالت 106 ملحقات خبيثة من متجر الملحقات وتطبيقات الويب الخاص بمتصفحها Chrome. واستخدمت الملحقات المزالة، التي جرى تنزيلها نحو 32 مليون مرة بالمجمل، في سرقة بيانات المستخدمين الحساسة، كملفات تعريف الارتباط وكلمات المرور، بل إن بعضها كان يصور لقطات لشاشات المستخدمين، ما عرض بيانات الملايين منهم للخطر.
وتتمثل الطريقة الرئيسة لتوزيع الملحقات الإضافية الخبيثة في موارد الجهات الخارجية التي من أبرزها FB Stealer التي تم تثبيتها بالاعتماد على أداة تثبيت برمجيات مخترقة، مثل Broadband Engineers.
ويمكن للتروجان بعد تشغيل FB Stealer، استخراج ملفات تعريف الارتباط للمدة التي يعمل فيها المستخدم على المواقع المختلفة، وهي بمنزلة الأسرار المحفوظة في المتصفح والمشتملة على بيانات التعريف التي تسمح للمستخدمين بالبقاء في وضع تسجيل الدخول، وإرسالها إلى خوادم المهاجمين، ما يتيح لهم تسجيل الدخول فورا إلى حساب المستخدم الضحية، حيث يكون بوسعهم، وبأسرع ما يمكن، محاولة طلب المال من أصدقائه الذين لا يدركون أن الحساب مخترق، وذلك قبل أن ينجح المستخدم في استعادة الوصول إلى حسابه.
وللحماية من هذا النوع من البرمجيات، يجب على المستخدمين الاعتماد على المصادر الموثوق بها فقط لتنزيل البرمجيات، إذ في الأغلب ما توزع البرمجيات الخبيثة والتطبيقات غير المرغوب فيها عبر موارد جهات خارجية لم يتم التحقق من مدى سلامتها بالطريقة نفسها التي يجري بها التحقق من سلامة متاجر الويب الرسمية. وقد تثبت هذه التطبيقات ملحقات خبيثة أو غير مرغوب فيها للمتصفحات من دون علم المستخدم، وقد يكون بوسعها تنفيذ أنشطة خبيثة أخرى، إلى جانب أهمية التدقيق في الأذونات التي تمنح للتطبيقات قبل منحها، وتحديد عدد الملحقات المستخدمة في المرة الواحدة، ومراجعة الملحقات المثبتة مراجعة دورية لإلغاء تلك التي لم تعد مستخدمة أو غير معروفة.
