كشفت حملة خبيثة عبر متصفحات الإنترنت عن ملايين المستخدمين لمراقبة واسعة النطاق من خلال ملحقات VPN تبدو بريئة. هذه الأدوات، التي تم الترويج لها على أنها خدمات “VPN مجاني غير محدود”، حظيت بأكثر من 9 ملايين عملية تثبيت قبل أن تكتشفها جهات أمنية، وظلت البرمجيات الخبيثة مخفية لما يقرب من ست سنوات. تم وصف هذه الملحقات بأنها حلول خصوصية بسيطة، إلا أنها انقلبت لتقدم العكس تمامًا، ألا وهي رؤية كاملة لعادات تصفح المستخدم وحركة مرور الشبكة.
هذه الملحقات لم تعمل كشبكات افتراضية خاصة تقليدية، بل كنظم بروكسي يتم التحكم فيها عن بعد. لقد قامت بجلب ملفات تكوين مخفية من خوادم يتحكم بها المهاجمون، وغيرت إعدادات البروكسي في الوقت الفعلي، واعترضت كل حدث لتنقل المتصفح. من خلال إعادة توجيه حركة المرور عبر خوادم غير مصرح بها، تمكن المهاجمون من الوصول إلى معلومات حساسة، بما في ذلك بيانات اعتماد تسجيل الدخول، والبيانات المالية، وأنماط التصفح الشخصية. تسلط هذه الحملة الضوء على كيفية تحويل الأذونات البسيطة، عند دمجها مع الحد الأدنى من الرقابة، للأدوات المشروعة إلى أدوات مراقبة.
ملحقات VPN خبيثة: تهديد مستمر
قام محللو LayerX Security بتحديد وتوثيق الحملة، واكتشفوا نسختين رئيسيتين كانتا متاحتين من عام 2019 حتى مايو 2025. وبعد إزالتهما، ظهرت ملحقات أخرى مشابهة بعدها بشهرين فقط، مما يشير إلى أن المشغلين ظلوا ملتزمين بالحفاظ على بنية الهجوم التحتية الخاصة بهم.
تطور التهديد عبر الزمن
النسخة الأولى، التي تم إنشاؤها في سبتمبر 2019، والنسخة الثانية، التي تم إطلاقها في مايو 2020، تشاركت في نطاق الدعم free-vpn.pro وأظهرت سلوكًا خبيثًا متطابقًا تقريبًا. أما النسخة الثالثة، والتي ظهرت في يوليو 2025، فقد عرضت تقنيات أكثر خفاءً أثناء الحفاظ على نفس الأهداف الأساسية.
أظهرت نسخة 2025 تقدمًا ملحوظًا في تكتيكات التهرب وآليات المثابرة. على عكس التكرارات السابقة، استخدم هذا المتغير فترات تأخير مدتها ثانيتان قبل تفعيل البروكسي، ربما بهدف تجاوز أدوات التحليل القائمة على البيئات المعزولة (sandbox) المستخدمة عادة في البحث الأمني.
قامت الملحقات بتنزيل منطق توجيه البروكسي الأساسي في وقت التشغيل وتنفيذه ديناميكيًا، مما منع التحليل الثابت للكود من الكشف عن سلسلة الهجوم الكاملة. بالإضافة إلى ذلك، قامت الملحقات بفحص أدوات البروكسي المنافسة وتعطيلها بالكامل، مما يضمن سيطرة حصرية على حركة مرور المستخدم.
قامت الملحقات بتعداد الملحقات المثبتة وتقديم تجزئة دورية لعناوين URL التي تمت زيارتها، ونقلت بيانات التنميط هذه إلى خوادم القيادة والتحكم عن بعد. كما قامت البرمجيات الخبيثة بحقن نصوص برمجية للمحافظة على الاتصال (keepalive) في علامات تبويب المتصفح للحفاظ على المثابرة، مما منع آليات الأمان الخاصة بـ Chrome من إلغاء تحميل العامل الخلفي الخبيث.
تم التلاعب بالتاريخ من خلال `history.replaceState()` لمحو الأدلة الجنائية لعمليات إعادة التوجيه، مما يعقد جهود التحقيق والمعالجة. كما قامت الملحقات بتعديل إعدادات البروكسي من خلال نصوص PAC عن بعد، مما سمح للمهاجمين بإعادة توجيه الضحايا إلى صفحات التصيد الاحتيالي أو مزارع الإعلانات دون تفاعل من المستخدم. هذا النهج سمح بتعديلات سلوكية بعد التثبيت، متجاوزًا عمليات مراجعة متجر Chrome الإلكتروني بعد حصول الملحق على الموافقة.
تكشف هذه الاكتشافات عن ثغرات أمنية حرجة في بنية ملحقات المتصفح. الملحقات التي تمنح أذونات واسعة تفتقر إلى الرقابة الكافية في وقت التشغيل، مما يحول الأدوات الموثوقة إلى منصات هجوم سرية. يواجه المستخدمون الذين يقومون بتثبيت خدمات VPN المجانية مخاطر كبيرة، حيث يمكن للمشغلين اعتراض جميع حركة المرور، وحصاد بيانات الاعتماد، وإجراء هجمات متابعة مستهدفة مع الحفاظ على سيطرة عن بعد كاملة على المتصفحات المخترقة.