تضررت أكثر من نصف مليون حساب على شبكة فيكونتاكتي الاجتماعية، أكبر شبكات التواصل الاجتماعي في روسيا، جراء حملة برمجيات خبيثة متطورة استهدفت المستخدمين عبر إضافات متصفح كروم. تمكنت هذه الإضافات، التي بدت innocuous، من الاستيلاء على الحسابات بشكل صامت.
تم تصميم هذه الإضافات Malicious، التي كانت تقدم نفسها كأدوات لتخصيص حسابات VK، للاشتراك التلقائي للمستخدمين في مجموعات يديرها المهاجمون، وإعادة تعيين إعدادات الحساب كل 30 يومًا، والتلاعب بالرموز الأمنية للحفاظ على السيطرة المستمرة.
ما بدأ كبرامج بسيطة لتخصيص المظهر، كشف عن عملية Multi-stage متكاملة للاستحواذ على الحسابات.
تتركز الحملة حول خمس إضافات لمتصفح كروم تتشارك نفس البنية التحتية الخبيثة، وقد حصدت الإضافة الرئيسية “VK Styles” وحدها 400 ألف تثبيت قبل إزالتها.
حملة الاستيلاء على حسابات VKontakte بإضافات كروم الخبيثة
تعتمد البرمجية الخبيثة على نظام تسليم من مرحلتين لتجنب الكشف بواسطة برامج الفحص الأمني التقليدية.
بدلاً من تضمين الشفرة الخبيثة مباشرة في الإضافة، لجأ المهاجمون إلى استخدام حساب على VKontakte كبنية تحتية للقيادة والتحكم (C2). وتم إخفاء عناوين URL الخاصة بالحمولة في علامات البيانات الوصفية (metadata tags) الخاصة بـ HTML، والتي تقوم الإضافات بجلبها وتنفيذها.
آلية الهجوم المتعدد المراحل تستغل بنية الشبكة الاجتماعية
تُظهر آلية الإصابة تقنيات تهرب متقدمة، فعندما يقوم المستخدمون بتثبيت هذه الإضافات، معتقدين أنها ستعزز تجربتهم على VK، تقوم البرمجية الخبيثة أولاً بترسيخ وجودها عن طريق حقن شفرة في كل صفحة VK يتم تصفحها.
ثم تقوم بجلب تعليمات مشفرة من البيانات الوصفية لحساب المهاجم على VK، والتي توجه الإضافة إلى تنزيل حمولات إضافية من GitHub.
هذا النهج يسمح لمُهدد بتحديث الوظائف الخبيثة دون الحاجة إلى تعديل شفرة الإضافة نفسها، متجاوزًا بذلك مراجعات الأمان الخاصة بمتجر Chrome Web Store.
تقوم البرمجية الخبيثة بالتلاعب بملفات تعريف الارتباط(cookies) الخاصة بحماية CSRF الخاصة بـ VK لتجاوز آليات الأمان المصممة لمنع إجراءات الحساب غير المصرح بها.
تقوم تلقائيًا بالاشتراك في مجموعة المهاجم على VK بنسبة 75% من احتمالية الاشتراك في كل جلسة، مما يخلق شبكة توزيع ذاتية الدفع.
كل 30 يومًا، تقوم البرمجية الخبيثة بإعادة تعيين إعدادات الحساب لتجاوز تفضيلات المستخدم والحفاظ على السيطرة.
استمرت العملية بشكل مستمر من يونيو 2025 حتى يناير 2026، حيث أظهر سجل التعهيدات (commit history) على GitHub تحسينات وإضافات متعمدة للميزات على مدار سبعة أشهر.
يجب على فرق الأمن تدقيق إضافات المتصفح، ومراقبة أي نشاط غير عادي لواجهة برمجة التطبيقات (API) الخاصة بـ VK، وتنفيذ سياسات السماح بإضافات معينة.
يجب على المستخدمين الذين يعانون من اشتراكات جماعية غير متوقعة أو تغييرات في الإعدادات إزالة إضافات VK المشبوهة على الفور ومراجعة أذونات إضافات Chrome الخاصة بهم.