كشف تقرير أمني حديث عن اختراق واسع النطاق طال ما يقرب من 4.3 مليون مستخدم لمتصفحات كروم وإيدج، وذلك عبر حملة برمجيات خبيثة منظمة استمرت سبع سنوات تحت اسم “ShadyPanda”.
وقد نجحت هذه المجموعة في التسلل إلى الأجهزة من خلال إضافات شرعية تم التحقق منها من قبل جوجل ومايكروسوفت، مما منحها مصداقية زائفة لدى المستخدمين.
تُظهر هذه الحملة، التي استهدفت ملايين الأجهزة على مدى سبع سنوات، مدى دقة وتطور هذه التهديدات الإلكترونية وقدرتها على التخفي لفترات طويلة.
حملة “ShadyPanda” تستهدف ملايين مستخدمي متصفحات الإنترنت
تعمل حملة “ShadyPanda” على مرحلتين رئيسيتين ومتكاملتين. المرحلة الأولى تتضمن نشر باب خلفي للتنفيذ عن بعد (RCE) عبر خمس إضافات خبيثة، من بينها تطبيق “Clean Master” الشهير الذي حصد أكثر من 300 ألف عملية تثبيت قبل تفعيله.
أما المرحلة الثانية، فتمثلت في عملية تجسس واسعة النطاق شملت خمس إضافات أخرى تجاوز إجمالي تثبيتها 4 ملايين مرة، وعلى وجه الخصوص إضافة “WeTab New Tab Page” التي وصل عدد مستخدميها إلى 3 ملايين.
يكشف هذا الهيكل المزدوج عن قدرة المجموعة على شن هجمات متعددة في نفس الوقت مع تفادي الكشف عنها لفترات طويلة، مما يثير قلقاً متزايداً بشأن أمن البيانات.
آلية الاختراق والتجسس
يشير محللو الأمن من “Koi” إلى أن نجاح “ShadyPanda” يعود إلى تحويل تطبيقات شرعية واستخدام تحديثات هادئة بدلاً من طرق التوزيع الخبيثة التقليدية.
قامت المجموعة ببناء الثقة عبر السماح للإضافات بالعمل بشكل طبيعي لسنوات، وجمع تقييمات حقيقية من المستخدمين وزيادة أعداد المثبتين.
عندما وصلت الإضافات إلى أعداد كافية، قامت تحديثات واحدة بتحويل هذه الأدوات الموثوقة إلى أدوات مراقبة، مستغلين آليات التحديث التلقائي لمتصفحات كروم وإيدج لإصابة ملايين المتصفحات فوراً ودون تدخل أو علم من المستخدم.
آلية العدوى المعقدة
تعمل آلية العدوى بتعقيد ملحوظ عبر عدة طرق تقنية. كل متصفح مصاب يتصل بخوادم عن بعد بشكل دوري لاستقبال تعليمات وتنفيذ تعليمات برمجية جافاسكريبت عشوائية، مع وصول كامل إلى واجهات برمجة تطبيقات المتصفح.
هذا يخلق باباً خلفياً مستمراً بدلاً من برامجية خبيثة ثابتة، مما يسمح للمجموعة بتكييف الهجمات ديناميكياً.
تتضمن الشفرة الخبيثة جمعاً كاملاً لسجل التصفح، واستعلامات البحث، وأنماط التنقل بين المواقع، وإحداثيات نقرات الفأرة الدقيقة، ويتم تشفير كل ذلك باستخدام تشفير AES قبل نقله إلى خوادم في الصين.
للحفاظ على فعاليتها ضد باحثي الأمن، تستخدم البرمجية الخبيثة تقنيات مراوغة متقدمة.
عند فتح أدوات المطور، تقوم الإضافة فوراً بالتبديل إلى سلوك غير ضار، مما يمنع التحليل والاكتشاف.
تستخدم الشفرة تشفيرًا معمقًا عبر أسماء متغيرات مختصرة وتُنفذ عبر مترجم جافاسكريبت بحجم 158 كيلوبايت لتجاوز السياسات الأمنية.
تمكّن عمال الخدمة (Service Workers) من إمكانيات الرجل في المنتصف (Man-in-the-Middle)، مما يسمح باعتراض حركة المرور وتعديل الملفات الشرعية، بما في ذلك جمع بيانات الاعتماد من اتصالات HTTPS.
يمتد تهديد الأمن السيبراني الآن إلى ما هو أبعد من المستهلكين الأفراد ليشمل بيئات الشركات. تمثل محطات عمل المطورين التي تعمل بالإضافات المصابة نقاط دخول إلى شبكات الشركات، مما قد يعرض المستودعات ومفاتيح API والوصول إلى البنية التحتية السحابية للخطر.
يتعين على متخصصي الأمن تدقيق الإضافات المثبتة على الأنظمة الحساسة على الفور وتنفيذ حلول المراقبة السلوكية للكشف عن أنماط سلاح لا يمكن للتحليل الثابت التقليدي تحديدها.