«GhostPoster» تكشف جيلًا جديدًا من هجمات المتصفحات

Posted by عالم التكنولوجيا 19 يناير، 2026 7:58 م
«GhostPoster» تكشف جيلًا جديدًا من هجمات المتصفحات
«GhostPoster» تكشف جيلًا جديدًا من هجمات المتصفحات

كشف باحثون في مجال الأمن السيبراني عن حملة اختراق جديدة تعرف باسم GhostPoster. تعتمد على نشر إضافات خبيثة للمتصفحات عبر المتاجر الرسمية. من بينها جوجل كروم، فايرفوكس، ومايكروسوفت إيدج. حيث نجحت في الوصول إلى ما يقرب من 840 ألف عملية تثبيت.

وأوضح الباحثون أن هذه الإضافات كانت تبدو للمستخدمين كأدوات عادية تؤدي وظائف يومية. إلا أنها في الواقع تخفي شفرات JavaScript خبيثة داخل صور شعاراتها. في أسلوب متطور يهدف إلى مراقبة نشاط المستخدمين وزرع أبواب خلفية داخل المتصفح دون إثارة الشكوك.

احتيال إعلاني منظم

وبحسب تقرير نشره موقع BleepingComputer المتخصص في الأمن السيبراني. تقوم الشفرة الخبيثة بجلب حمولة مشفرة بدرجة عالية من مصادر خارجية. ما يسمح بتتبع سلوك التصفح، واختطاف روابط التسويق بالعمولة على منصات التجارة الإلكترونية الكبرى.

كما تتيح هذه الشفرات إطارات غير مرئية داخل صفحات الويب. تستخدم في تنفيذ عمليات احتيال إعلاني والنقرات الوهمية. بما يحقق أرباحًا غير مشروعة للقائمين على الحملة.

أدوات شائعة ضمن الإضافات

وأشار تقرير حديث صادر عن منصة LayerX المتخصصة في أمن المتصفحات إلى أن الحملة ما زالت مستمرة رغم انكشافها. لافتًا إلى أن الإضافات التي تم رصدها حديثًا شملت أدوات شائعة الاستخدام. مثل الترجمة، وحظر الإعلانات، وتحميل الفيديوهات، وأدوات التقاط لقطات الشاشة.

«GhostPoster» تكشف جيلًا جديدًا من هجمات المتصفحات
«GhostPoster» تكشف جيلًا جديدًا من هجمات المتصفحات

 

وأظهرت البيانات أن إضافة Google Translate in Right Click سجلت وحدها أكثر من 522 ألف عملية تثبيت. ما يعكس مدى انتشار هذه الإضافات وقدرتها على خداع المستخدمين لفترات طويلة.

حملة GhostPoster

ووفقًا للباحثين، بدأت حملة GhostPoster على متصفح إيدج قبل أن تمتد لاحقًا إلى فايرفوكس وكروم. فيما تبين أن بعض الإضافات الخبيثة كانت متاحة منذ عام 2020. وهو ما يشير إلى عملية اختراق طويلة الأمد نجحت في تفادي الرصد والكشف الأمني لسنوات.

نسخة أكثر تطورًا

ورصدت منصة LayerX نسخة أكثر تعقيدًا من الهجوم داخل إضافة Instagram Downloader. حيث جرى نقل منطق التنفيذ الخبيث إلى السكربت الخلفي للإضافة. مع استخدام ملف صورة مدمج كحاوية سرية للحمولة الخبيثة بدلًا من الاكتفاء بإخفائها داخل أيقونة الإضافة.

وتعتمد الآلية الجديدة على فحص البيانات الخام للصورة بحثًا عن فاصل محدد، ثم استخراج الشيفرة المخفية وتخزينها محليًا، قبل فك ترميزها وتشغيلها لاحقًا كشيفرة JavaScript، وهو ما يمنح الهجوم مرونة أكبر وقدرة أعلى على تجاوز آليات الكشف.

تحذير للمستخدمين

ووصف الباحثون هذا الأسلوب بأنه يمثل تطورًا ملحوظًا في تقنيات الإخفاء. مع فترات كمون أطول وقدرة أعلى على تجاوز آليات الحماية الثابتة والسلوكية.

وأكدوا أن الإضافات التي جرى تحديدها أزيلت بالفعل من متجري موزيلا ومايكروسوفت. كما حذفت جوجل جميع الإضافات المرتبطة بالحملة من متجر كروم. إلا أنهم حذروا في الوقت نفسه من أن المستخدمين الذين قاموا بتثبيت هذه الإضافات سابقًا ما زالوا معرضين للخطر. ما لم يبادروا بإزالتها يدويًا وإجراء فحص شامل لمتصفحاتهم.

الرابط المختصر :