كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة متطورة باسم “GhostPoster”، تستهدف مستخدمي متصفح فايرفوكس، وتمكنت من إصابة ما يقدر بنحو 50 ألف مستخدم. تستخدم هذه الحملة تقنية مبتكرة تعتمد على إخفاء الأكواد الضارة داخل أيقونات واجهات إضافات المتصفح، مما يجعل اكتشافها صعبًا.
تعتمد الهجمة على إضافات تبدو بريئة، مثل “Free VPN Forever”، حيث يتم تضمين الحمولة الخبيثة في أيقونات البرنامج نفسه. على عكس البرمجيات الخبيثة التقليدية التي تتطلب تحميلات خارجية أو حقن نصوص برمجية واضحة، يقوم GhostPoster بتضمين منطق التنفيذ الأولي مباشرة في البيانات الثنائية لملف PNG، متجاوزًا بذلك أدوات الفحص الأمني القياسية ومراجعات المتاجر التي تتعامل مع ملفات الصور عادةً على أنها أصول غير ضارة.
تبدأ عملية الإصابة عند قيام الإضافة المصابة بتحميل ملف الشعار الخاص بها (logo.png) أثناء عملها الطبيعي. بدلاً من مجرد عرض الصورة، يقوم كود الإضافة بقراءة البيانات الثنائية للملف والبحث عن علامة محددة، وهي التسلسل 0x3D 0x3D 0x3D (== =). عند تفعيل هذا الآلية، يتم استخلاص كود JavaScript مخفي يبدأ سلسلة إصابة متعددة المراحل.
هجوم GhostPoster المبتكر على مستخدمي فايرفوكس
تسمح هذه الطريقة الخفية للبرمجيات الخبيثة بالبقاء على متصفح الضحية، مما يتيح للمهاجمين تنفيذ أوامر عن بعد، وإزالة رؤوس (Headers) أمنية، واختطاف حركة مرور المستخدم لأغراض الاحتيال الإعلاني دون إثارة الشكوك. لاحظ محللو “Koi”، الذين قاموا بتتبع الحملة، أنها تشمل ما لا يقل عن 17 إضافة، تتواصل جميعها مع نفس البنية التحتية للقيادة والتحكم، بما في ذلك الموقع liveupdt.com.
لم يقتصر الأمر على المساس بخصوصية المستخدمين عن طريق حقن نصوص برمجية للتتبع فحسب، بل قام المهاجمون أيضًا بتعطيل حمايات المتصفح الهامة، مثل رؤوس Content-Security-Policy. من خلال إزالة هذه الضمانات، تعرض المستخدمون لمخاطر إضافية، بما في ذلك هجمات البرمجة النصية عبر المواقع (Cross-Site Scripting) والتصيد الاحتيالي (Clickjacking)، بينما كانوا يجمعون إيرادات غير مشروعة بصمت من خلال إعادة التوجيه القسري إلى مواقع التجارة الإلكترونية.
غالبًا ما ظلت الإضافات المصابة خاملة لأيام، مستخدمةً مشغلات تعتمد على الوقت لتجنب الكشف الفوري في مرحلة التثبيت الأولية. هذه التقنية المعقدة في هجوم GhostPoster تجعل حماية المستخدمين أمرًا بالغ الأهمية.
آلية فك التشفير المخصصة
الجانب الأكثر إثارة للاهتمام من الناحية التقنية في GhostPoster هو روتينه المخصص لفك تشفير الحمولة المستلمة من خوادم القيادة والتحكم. بعد أن يقوم المحمل الأولي باسترداد البيانات المشفرة، فإنه يطبق خوارزمية تحويل فريدة من ثلاث خطوات لإعادة بناء كود JavaScript التنفيذي.
تتضمن العملية تبديل جميع الحروف الصغيرة إلى كبيرة والعكس صحيح، وتبادل الأرقام ‘8’ و ‘9’، وأخيرًا إجراء فك تشفير Base64. هذا التشويش بسيط حسابيًا ولكنه فعال في التهرب من الكشف الثابت عن طريق التواقيع.
بعد خطوة فك التشفير هذه، تتم معالجة الحمولة بشكل إضافي باستخدام تشفير XOR المشتق من معرف التشغيل الفريد للإضافة. يضمن هذا أن الكود الذي تم فك تشفيره موجود فقط في ذاكرة المتصفح، تاركًا وراءه بصمة ملف ثابتة لأدوات التحقيق الجنائي لتحليلها.
يقوم البرنامج الضار عن قصد بإدخال تأخيرات عشوائية ويقوم بجلب الحمولة بشكل متقطع فقط، مما يجعل التحليل الديناميكي صعبًا لفرق الأمان التي تحاول تكرار الإصابة في بيئة خاضعة للرقابة. من المهم للمستخدمين توخي الحذر عند تثبيت إضافات المتصفح، حتى تلك التي تبدو مفيدة.