كشفت تقارير صادرة عن خبراء الأمن السيبراني عن حملة إعلانية خبيثة مستمرة، يقودها مشغل تهديدات يُعرف باسم “D-Shortiez”، تستغل سلوكاً معيناً في متصفحات WebKit لتحويل مستخدمي iOS Safari إلى صفحات احتيالية، مع صعوبة بالغة في الفرار منها. هذه الحملة، التي تمتد لأشهر، تستهدف بشكل أساسي المستخدمين في الولايات المتحدة وكندا وأوروبا.
تعتمد هذه الحملة على آلية إعادة توجيه قسري، وهي ليست جديدة في عالم الاحتيال الإعلاني، إلا أن “D-Shortiez” أضافت لمسة تقنية مبتكرة تتمثل في تعطيل زر الرجوع؛ مما يجعل المستخدم عالقاً في دوامة الصفحات الضارة. تستغل هذه التقنية نقاط ضعف في المتصفح لزيادة فعالية مدى الحملة واستمراريتها.
نطاق الحملة وتأثيرها
على مدار الأشهر الستة الماضية، قامت “D-Shortiez” بتقديم أكثر من 300 مليون انطباع إعلاني خبيث، مع تركيز كبير على جمهور الولايات المتحدة، وامتداد التأثير ليشمل كندا وأجزاء من أوروبا. لوحظ أن منصة iOS هي الهدف الرئيسي لهذه الأنشطة.
ويشير نمط النشاط، الذي حافظ على وتيرة ثابتة منذ أغسطس مع وجود دفعات حادة وعالية الحجم تتبعها فترات توقف قصيرة، إلى إدارة مدروسة ومنظمة من قبل المشغلين لضمان استدامة الحملة وتجنب الكشف المبكر.
اختراق زر الرجوع: كيف تحتجز D-Shortiez مستخدمي Safari
يكمن التميز التقني لهذه الحملة في كيفية استغلال “D-Shortiez” لحدث popstate في المتصفح لمنع المستخدمين من مغادرة صفحات الاحتيال على Safari. يقوم الكود الخبيث بإضافة مدخل زائف إلى سجل الجلسة في المتصفح باستخدام window.top.history.pushState().
عندما يضغط المستخدم على زر الرجوع، يقوم معالج حدث onpopstate، المرتبط بـ window.top، بإعادة توجيه المستخدم فوراً إلى عنوان URL الاحتيالي، مضيفاً إليه معامل “back” بدلاً من إعادته إلى الصفحة الأصلية التي كان يتصفحها. هذه الآلية تضمن بقاء الضحية محاصرة.
الثغرة ومعالجتها
عند اختبار هذا الكود على مختلف المتصفحات الرئيسية، لم يظهر أي سلوك غير طبيعي في غالبية البيئات، باستثناء Safari. على نظام iOS، عمل البرنامج النصي بالضبط كما هو مصمم، حيث أغلق زر الرجوع بفعالية، وأبقى المستخدمين عالقين في صفحات الاحتيال دون مسار خروج واضح.
تم الكشف عن هذه الثغرة لشركة Apple في 29 سبتمبر، وتم إصلاحها عبر تحديث أمني لمتصفح Safari صدر في 23 يناير، يحمل الرقم التعريفي HT213600. يبقى المستخدمون الذين لم يطبقوا هذا التحديث معرضين بشكل مباشر لهذا الاختراق لزر الرجوع.
يوصى جميع مستخدمي iOS وSafari بتحديث أجهزتهم فوراً لتجنب هذه الثغرة الأمنية. كما يُنصح فرق الأمن وعمليات الإعلانات بمراجعة سلاسل الإمداد الإعلانية الخاصة بهم بحثاً عن شفرات إعادة التوجيه وحظر جميع نطاقات “D-Shortiez” المعروفة.