إضافة وهمية لـ Google Docs تعمل دون اتصال بالإنترنت
إضافة "Google Docs Offline" المزيفة هي إضافة متصفح خبيثة مصممة لتظهر كأداة شرعية. تتنكر هذه الإضافة في صورة خدمة موثوقة من جوجل، بينما هي في الواقع جزء من حملة هجوم إلكتروني أوسع تُعرف باسم GlassWorm. لا يقوم المستخدم بتثبيت هذه الإضافة مباشرةً، بل يتم حقنها خلسةً في المتصفح بواسطة برمجيات خبيثة موجودة مسبقًا عبر نص برمجي خبيث. وبمجرد تثبيتها، تندمج مع الإضافات الشرعية، مما يجعل اكتشافها صعبًا.
جدول المحتويات
التسلل الصامت عبر الهجمات المتسلسلة
ينتشر هذا التهديد عبر هجوم متسلسل متطور يستغل منصات مخترقة مثل مستودعات GitHub وحزم npm ومتاجر إضافات المتصفح. يقوم مجرمو الإنترنت الذين يقفون وراء GlassWorm بتضمين شيفرة ضارة داخل مشاريع أو تحديثات برمجية تبدو شرعية، مما يجعلها تبدو آمنة.
عندما يقوم المستخدمون بتثبيت أو تحديث البرامج المصابة، يتم تفعيل الشفرة الخفية في الخلفية وحقن الإضافة المزيفة في المتصفح. في بعض الحالات، يتم إيصال البرامج الضارة عبر آليات تحديث خادعة تُحاكي العمليات الرسمية، مما يزيد من احتمالية نجاح الإصابة.
مراقبة المتصفح بالكامل وجمع البيانات
بمجرد تثبيته، يعمل هذا الامتداد المزيف كبرنامج حصان طروادة للتحكم عن بُعد (RAT)، مما يمنح المهاجمين تحكمًا واسعًا في نشاط المتصفح. وهو قادر على جمع مجموعة واسعة من المعلومات الحساسة، بما في ذلك:
- ضغطات المفاتيح، بما في ذلك بيانات اعتماد تسجيل الدخول ومدخلات النموذج
- ملفات تعريف الارتباط وبيانات الجلسات النشطة من مواقع الويب
- الكود الكامل لعلامات تبويب المتصفح النشطة
- لقطات شاشة للصفحات المفتوحة
- محتويات الحافظة والإشارات المرجعية المحفوظة
- سجل التصفح (حتى 5000 مدخل)
- تفاصيل الجهاز والمتصفح، بما في ذلك بيانات الأجهزة ووحدة معالجة الرسومات/WebGL
- معلومات حول ملحقات المتصفح المثبتة
يتم تجميع جميع البيانات التي تم جمعها وإرسالها إلى مجرمي الإنترنت، وغالبًا دون أي علامات مرئية للضحية.
عواقب وخيمة على الأمن الشخصي وأمن الشركات
يُعرّض مستوى الوصول الذي يمنحه هذا الامتداد الخبيث نطاقًا واسعًا من البيانات الحساسة للخطر. فقد تُكشف رسائل البريد الإلكتروني الخاصة، والرسائل النصية، والمستندات، وغيرها من المعلومات الشخصية. وتُعدّ الأنشطة المالية عرضةً للخطر بشكل خاص، بما في ذلك جلسات الخدمات المصرفية عبر الإنترنت، وتفاصيل الدفع، وحسابات العملات المشفرة التي يتم الوصول إليها عبر المتصفح.
يستطيع المهاجمون استغلال هذه البيانات لاختراق الحسابات، وسرقة الأموال، وانتحال شخصيات المستخدمين، وتنفيذ عمليات خبيثة أخرى. وعند تثبيتها على جهاز عمل، قد يتفاقم الوضع ليتحول إلى خرق أمني شامل للشركة، مما قد يعرض الأنظمة الداخلية وبيانات العمل السرية للخطر.
إساءة استخدام أدوات إدارة المتصفح
إضافةً إلى قدرات التجسس، يتلاعب هذا الامتداد بميزة "الإدارة من قِبل مؤسستك" في المتصفح. في الظروف العادية، يشير هذا الإعداد إلى أن المتصفح يخضع لسيطرة مسؤول رسمي، كما هو الحال في بيئة الشركات.
باستغلال هذه الخاصية، يستطيع البرنامج الخبيث تقييد تحكم المستخدم، ومنع طرق الإزالة التقليدية، والحد من الوصول إلى إعدادات المتصفح. تساعد هذه الحيلة البرنامج الخبيث على البقاء في مكانه دون أن يتم اكتشافه لفترات طويلة.
تهديد مستمر وعالي الخطورة
يمثل امتداد "Google Docs Offline" المزيف خطرًا جسيمًا على الأمن السيبراني نظرًا لقدرته على التخفي، ومراقبة نشاط المستخدم، وسرقة البيانات الحساسة للغاية. وتجعله أساليب تثبيته الخفية وآليات استمراريته في العمل خطيرًا بشكل خاص.
في حالة اكتشاف الامتداد وأي مكونات ضارة ذات صلة، يجب إزالتهما على الفور لمنع سرقة البيانات المستمرة والاختراق المحتمل على المدى الطويل.
