كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستخدم تكتيكاً غير مألوف لكنه فعال، يتمثل في تعطيل متصفحات المستخدمين عن عمد. تُعرف هذه التهديدات باسم CrashFix، وتعمل عبر امتداد خبيث لمتصفح كروم، يتنكر في هيئة امتداد شرعي لحظر الإعلانات يدعى NexShield.
عندما يبحث المستخدمون عن أدوات الخصوصية عبر الإنترنت، تقوم إعلانات خبيثة بتوجيههم لتنزيل ما يبدو أنه امتداد موثوق به من متجر Chrome الإلكتروني. يبدأ الامتداد المزيف هجوماً منسقاً مصمماً لإحباط المستخدمين وحثهم على تنفيذ أوامر خطيرة.
تُظهر الحملة نهج إصابة متعدد الطبقات يستهدف كلاً من الشبكات المنزلية والشركات. فور التثبيت، يبقى الامتداد خاملاً لمدة ساعة قبل تفعيل حمولته التدميرية. تهدف هذه الاستراتيجية الزمنية إلى خلق مسافة بين وقت التثبيت وظهور المشكلات، مما يجعل من الصعب على الضحايا إلقاء اللوم على البرامج المضافة حديثاً.
ومن جهة أخرى، يعكس هذا العمل تخطيطاً دقيقاً من قبل الجهات الفاعلة في التهديدات، الذين يدركون سلوك المستخدم جيداً. لاحظ محللو Huntress أن الحملة تنبع من مجموعة KongTuke، وهي مجموعة تهديدات تم تتبعها منذ أوائل عام 2025. حدد الباحثون مكونات متطورة متعددة، بما في ذلك امتداد NexShield الذي يحاكي uBlock Origin Lite، وآلية هجوم CrashFix، وأداة وصول عن بعد جديدة تعتمد على بايثون وتسمى ModeloRAT.
تلقى الأهداف المؤسسية معاملة تفضيلية، حيث تصل الأجهزة المرتبطة بالنطاق إلى برمجيات خبيثة أكثر قوة مقارنة بالأنظمة المستقلة، مما يوحي بأن المهاجمين يعطون الأولوية لاختراق المؤسسات.
آلية هجوم رفض الخدمة للمتصفح
تعتمد آلية CrashFix الأساسية على هجوم رفض خدمة متعمد ضد متصفح الضحية. يحتوي الامتداد على شفرة تنشئ مليار اتصال منفذ في حلقة لا نهائية. يستهلك كل منفذ ذاكرة مع توسع المصفوفة بلا حدود، مما يغرق نظام المراسلة الداخلي للمتصفح ويستهلك دورات المعالج.
ترتفع استخدامات الذاكرة حتى الوصول إلى حدود النظام، مما يتسبب في تباطؤ شديد، وتجمد علامات التبويب، وتعطل كامل للمتصفح يتطلب إنهاءه قسرياً. عند إعادة تشغيل المستخدمين لمتصفحهم، يواجهون تحذيراً أمنياً مزيفاً يدعي أن المتصفح “توقف بشكل غير طبيعي”. يوجه التحذير الضحايا لفتح مربع حوار “تشغيل” في ويندوز، ولصق أمر في الحافظة، ثم الضغط على Enter.
لا يدرك المستخدمون أن الامتداد الخبيث قام سابقاً بنسخ أمر PowerShell إلى حافظتهم. يبدو الأمر المعروض شرعياً، ولكنه في الواقع ينفذ حمولة خطيرة.
يعمل المهاجمون بشكل متعمد على تشغيل الهجوم فقط بعد تأسيس اتصال القيادة والتحكم (C2) وتأكيد تفاعل المستخدم مع النافذة المنبثقة، مما يوضح وعيهم التشغيلي. يجمع هذا بين الهندسة الاجتماعية والاستغلال التقني لتحقيق نتائج مدمرة.
تابعنا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، اجعل CSN مصدراً مفضلاً في Google.