أدوات مرغوبة
ويمكن للتهديدات الكامنة في ملحقات المتصفحات إدراج الإعلانات على أجهزة المستخدمين، وجمع البيانات منها حول سجلات التصفح وحتى البحث عن بيانات اعتماد تسجيل الدخول إلى مختلف الحسابات الخاصة، ما يجعلها من أكثر الأدوات المرغوب بها عند مجرمي الإنترنت، وذلك من خلال تقليد تطبيقات شائعة مثل «جوجل ترانسليتور» Google Translator أو ملحقات ذات وظائف مفيدة مثل «بي دي أف كونفرتر» PDF Converter أو «فيديو داون لودر» Video Downloader.
تهديدات متخفية
واستطاعت منتجات كاسبرسكي، منذ بداية العام 2020، منع ما يقرب من 6 ملايين مستخدم من تنزيل تهديدات متخفية تحت ستار ملحقات وهمية لمتصفحات الويب.
وخلال النصف الأول من العام 2022، لاحظ باحثو كاسبرسكي ارتفاعًا في عدد المستخدمين الذين واجهوا هذه التهديدات، والذين وصل عددهم في الأشهر الستة الأولى من العام إلى 1.3 مليون مستخدم، أي أكثر من 70% من عدد المستخدمين المتأثرين بالتهديدات نفسها في جميع أنحاء العالم طوال السنة الماضية.
برمجيات الإعلانات
وتمثّل التهديد الأبرز الذي انتشر تحت ستار ملحقات المتصفحات في برمجيات الإعلانات، التي تُعدّ برمجيات غير مرغوب فيها مُصمَّمة لإظهار الإعلانات على الشاشة.
وعادةً ما تستند هذه الإعلانات إلى سجل التصفح لجذب اهتمام المستخدمين عبر تضمين لافتات إعلانية في صفحات الويب أو توجيه تلك الصفحات إلى صفحات تابعة للقائمين خلف هذه الإعلانات، ما يمكّنهم من كسب المال.
ولاحظ خبراء كاسبرسكي أن أكثر من 4.3 مليون مستخدم فريد واجهوا بين يناير 2020 ويونيو 2022، برمجيات إعلانية مختبئة في ملحقات المتصفحات، أي أن نحو 70% من جميع المستخدمين المتأثرين قد واجهوا هذا التهديد.
إضافات خبيثة
وعُثر على إضافات خبيثة وغير مرغوب فيها يجري توزيعها من خلال الأسواق الرسمية.
وأزالت «جوجل» عام 2020، 106 ملحقات خبيثة من متجر الملحقات وتطبيقات الويب الخاص بمتصفحها «كروم».
واستُخدمت الملحقات المُزالة، والتي جرى تنزيلها حوالي 32 مليون مرة بالمجمل، في سرقة بيانات المستخدمين الحساسة، كملفات تعريف الارتباط وكلمات المرور، بل إن بعضها كان يصوِّر لقطات لشاشات المستخدمين، ما عرَّض بيانات الملايين منهم للخطر.
لكن حدوث هذا الأمر لا يتكرَّر كثيرًا، فالطريقة الرئيسة لتوزيع الملحقات الإضافية الخبيثة تتمثل في موارد الجهات الخارجية.
أخطر التهديدات
وكانت إحدى عائلات التهديدات التي حللها باحثو كاسبرسكي وأوردوها في تقريرهم، والتي يُطلق عليها اسم «إف بي ستيلر» FB Stealer، انتشرت فقط من خلال مواقع مشبوهة، وتُعتبر واحدة من أخطر عائلات التهديدات؛ لأنها قادرة على سرقة بيانات اعتماد دخول المستخدمين من «فيس بوك»، عدا عن قدرتها على تبديل محرك البحث التقليدي وتوجيه المستخدمين إلى صفحات تابعة.
وعندما حاول المستخدمون أن ينزلوا من مصادر خارجية، مثل الموقع «سولرويندز» SolarWinds، أداة تثبيت برمجيات مخترقة، مثل «برودباند إنجنيرز» Broadband Engineers، تلقوا تروجان «نل ميكسر» NullMixer الخطير، الذي قام بتثبيت «أف بي ستيلر» FB Stealer ذاتيًا على الجهاز المصاب.
وقد بدا الأمر طبيعيًا للمستخدمين؛ لأن امتداده يحاكي امتداد التطبيق المألوف «جوجل ترانسليتور» اGoogle Translate.
استخراج الأسرار
ويمكن للتروجان بعد تشغيل «إف بي ستيلر» FB Stealer، استخراج ملفات تعريف الارتباط للمدة التي يعمل فيها المستخدم على «فيس بوك»، وهي بمثابة الأسرار المخزنة في المتصفح والمشتملة على بيانات التعريف التي تسمح للمستخدمين بالبقاء في وضع تسجيل الدخول، وإرسالها إلى خوادم المهاجمين، ما يتيح لهم تسجيل الدخول فورًا إلى حساب المستخدم الضحية، حيث يكون بوسعهم، وبأسرع ما يمكن، محاولة طلب المال من أصدقائه الذين لا يدركون أن الحساب مخترق، وذلك قبل أن ينجح المستخدم في استعادة الوصول إلى حسابه.
آليات حماية
وأوصى الخبراء المستخدمين لحماية أنفسهم من تهديدات ملحقات المتصفحات، باستخدام المصادر الموثوق بها فقط لتنزيل البرمجيات، إذ غالبًا ما تُوزّع البرمجيات الخبيثة والتطبيقات غير المرغوب فيها عبر موارد جهات خارجية لم يتمّ التحقق من مدى سلامتها بالطريقة نفسها التي يجري بها التحقق من سلامة متاجر الويب الرسمية، وقد تثبَّت هذه التطبيقات ملحقات خبيثة أو غير مرغوب فيها للمتصفحات من دون علم المستخدم، وقد يكون بوسعها تنفيذ أنشطة خبيثة أخرى.
كما أشاروا إلى أن الملحقات تضيف وظائف أخرى إلى المتصفحات، وتطلب منحها أذونات مختلفة للوصول إلى موارد الجهاز، ما يؤكد أهمية التدقيق في ضرورة هذه الأذونات قبل منحها، مشددين على ضرورة تحديد عدد الملحقات المستخدمة في المرّة الواحدة، ومراجعة الملحقات المثبتة مراجعة دورية لإلغاء تلك التي لم تعُد مستخدمة أو غير المعروفة، إضافة إلى أهمية استخدام حل أمني قوي للتصفح الخاص، يمكن أن يساعد تجنب تتبع نشاط المستخدم على الإنترنت، وحمايته من التهديدات.
