7 امتدادات كروم تنتشر عن طريق الفيسبوك اشتعلت سرقة كلمات المرور
يُعد جذب المستخدمين على الشبكات الاجتماعية لزيارة نسخة مشابهة من مواقع الويب الشهيرة التي تنبثق نافذة تثبيت ملحق Chrome تبدو مشروعة واحدة من أكثر طرق عمل مجرمي الإنترنت شيوعًا لنشر البرامج الضارة.
يحذر باحثو الأمن مرة أخرى مستخدمي حملة ضارة جديدة نشطت منذ مارس على الأقل هذا العام وأصابت بالفعل أكثر من 100.000 مستخدم في جميع أنحاء العالم.
يطلق عليها نايجلثورن ، البرامج الضارة تنتشر بسرعة من خلال الروابط ذات الهندسة الاجتماعية على فيسبوك وتصيب أنظمة الضحايا بملحقات المستعرضات الخبيثة التي تسرق أوراق اعتماد وسائل الإعلام الاجتماعية الخاصة بهم ، وتثبيت عمال المناجم وربطهم بالاحتيال.
تم ضغط البرنامج الضار عبر سبعة ملحقات مختلفة على متصفح Chrome - تم استضافتها جميعها على سوق Chrome الإلكتروني الرسمي من Google.
تم اكتشاف هذه الامتدادات الخبيثة لمتصفح Chrome لأول مرة بواسطة باحثين في شركة Radware Security Security ، بعد أن تم اختراق شبكة "محمية جيدًا" لأحد عملائها ، وهي شركة تصنيع عالمية غير معروفة.
ووفقًا لتقرير نشره Radware ، فإن مشغلي البرامج الضارة يستخدمون نسخًا من امتدادات Google Chrome الشرعية ويضربون نصًا خبيثًا غامضًا قصيرًا داخلهم لتجاوز اختبارات التحقق من امتدادات Google.
أطلق الباحثون على هذه البرامج اسم "Nigelthorn" بعد أحد الإضافات الضارة التي كانت نسخة من ملحق "Nigelify" الشهير المصمم لاستبدال كل الصور على صفحة الويب مع صور من "Nigel Thornberry".
يحذر باحثو الأمن مرة أخرى مستخدمي حملة ضارة جديدة نشطت منذ مارس على الأقل هذا العام وأصابت بالفعل أكثر من 100.000 مستخدم في جميع أنحاء العالم.
يطلق عليها نايجلثورن ، البرامج الضارة تنتشر بسرعة من خلال الروابط ذات الهندسة الاجتماعية على فيسبوك وتصيب أنظمة الضحايا بملحقات المستعرضات الخبيثة التي تسرق أوراق اعتماد وسائل الإعلام الاجتماعية الخاصة بهم ، وتثبيت عمال المناجم وربطهم بالاحتيال.
تم ضغط البرنامج الضار عبر سبعة ملحقات مختلفة على متصفح Chrome - تم استضافتها جميعها على سوق Chrome الإلكتروني الرسمي من Google.
تم اكتشاف هذه الامتدادات الخبيثة لمتصفح Chrome لأول مرة بواسطة باحثين في شركة Radware Security Security ، بعد أن تم اختراق شبكة "محمية جيدًا" لأحد عملائها ، وهي شركة تصنيع عالمية غير معروفة.
أطلق الباحثون على هذه البرامج اسم "Nigelthorn" بعد أحد الإضافات الضارة التي كانت نسخة من ملحق "Nigelify" الشهير المصمم لاستبدال كل الصور على صفحة الويب مع صور من "Nigel Thornberry".
نايجلثورن تنتشر من خلال الروابط المرسلة عبر الفيسبوك
ينتشر نايجلثورن من خلال الروابط التي تمت هندستها اجتماعيًا على Facebook ، والتي إذا تم النقر على إعادة توجيه الضحايا إلى صفحة مزيفة على YouTube ، طالبين منهم تنزيل إضافة Chrome ضارة ، لمتابعة تشغيل الفيديو.
وبمجرد تثبيته ، ينفّذ الملحق شفرة جافا سكريبت ضارة تجعل أجهزة الكمبيوتر الخاصة بالضحايا جزءًا من الروبوتات. ظهرت في العام الماضيبرمجيات
خبيثة مشابهة يطلق عليها اسم ديجيميني Digimine ، وهي تعمل أيضًا عن طريق إرسال روابط هندسية ذات طابع اجتماعي عبر Facebook Messenger وتثبيت امتداد خبيث ، مما يسمح للمهاجمين بالوصول إلى الملف الشخصي للضحايا على Facebook ونشر نفس البرامج الضارة على قائمة أصدقائهم عبر Messenger.
لقد كتبنا مؤخرًا عن حملة أخرى خبيثة مماثلة ، أطلق عليها اسم FacexWormتم توزيعها أيضًا عن طريق إرسال روابط هندسية اجتماعية عبر Facebook Messenger وإعادة توجيه المستخدمين إلى صفحة مزيفة على YouTube ، ومطالبتهم بتثبيت إضافة Chrome الضارة.
ينتشر نايجلثورن من خلال الروابط التي تمت هندستها اجتماعيًا على Facebook ، والتي إذا تم النقر على إعادة توجيه الضحايا إلى صفحة مزيفة على YouTube ، طالبين منهم تنزيل إضافة Chrome ضارة ، لمتابعة تشغيل الفيديو.
وبمجرد تثبيته ، ينفّذ الملحق شفرة جافا سكريبت ضارة تجعل أجهزة الكمبيوتر الخاصة بالضحايا جزءًا من الروبوتات. ظهرت في العام الماضيبرمجيات
خبيثة مشابهة يطلق عليها اسم ديجيميني Digimine ، وهي تعمل أيضًا عن طريق إرسال روابط هندسية ذات طابع اجتماعي عبر Facebook Messenger وتثبيت امتداد خبيث ، مما يسمح للمهاجمين بالوصول إلى الملف الشخصي للضحايا على Facebook ونشر نفس البرامج الضارة على قائمة أصدقائهم عبر Messenger.
لقد كتبنا مؤخرًا عن حملة أخرى خبيثة مماثلة ، أطلق عليها اسم FacexWormتم توزيعها أيضًا عن طريق إرسال روابط هندسية اجتماعية عبر Facebook Messenger وإعادة توجيه المستخدمين إلى صفحة مزيفة على YouTube ، ومطالبتهم بتثبيت إضافة Chrome الضارة.
تركز البرمجيات الخبيثة الجديدة بشكل رئيسي على سرقة أوراق اعتماد الضحايا على حساب Facebook و Instagram وجمع التفاصيل من حساباتهم على Facebook.
ثم يتم استخدام هذه المعلومات المسروقة لإرسال روابط خبيثة إلى أصدقاء الشخص المصاب في محاولة لدفع الإضافات الضارة نفسها. إذا نقر أي من هؤلاء الأصدقاء على الرابط ، فستبدأ عملية العدوى بالكامل من جديد.
يقوم نايجل ثورن أيضًا بتنزيل أداة التعدين باستخدام cryptocurrency المتاح للعموم كبرنامج مساعد لتشغيل الأنظمة المصابة لبدء عمليات التعتيم ، بما في ذلك Monero أو Bytecoin أو Electroneum.
وعلى مدار فترة لا تزيد عن 6 أيام ، بدا أن المهاجمين يولدون ما يقرب من ألف دولار في حالات التعمية ، ومعظمهم من مونيرو.
نايجلثورن هو أيضا ثابت لمنع المستخدمين من إزالة ملحقات ضارة ، فإنه تلقائيا إغلاق علامة تبويب التمديد الخبيثة في كل مرة يفتح المستخدم فيها يمنع الإزالة.
تقوم البرامج الضارة أيضًا بسرد مجموعة متنوعة من أدوات التنظيف التي يوفرها Facebook و Google ، كما تمنع المستخدمين من إجراء التعديلات وحذف النشرات وإبداء التعليقات.
تركز البرمجيات الخبيثة الجديدة بشكل رئيسي على سرقة أوراق اعتماد الضحايا على حساب Facebook و Instagram وجمع التفاصيل من حساباتهم على Facebook.
ثم يتم استخدام هذه المعلومات المسروقة لإرسال روابط خبيثة إلى أصدقاء الشخص المصاب في محاولة لدفع الإضافات الضارة نفسها. إذا نقر أي من هؤلاء الأصدقاء على الرابط ، فستبدأ عملية العدوى بالكامل من جديد.
يقوم نايجل ثورن أيضًا بتنزيل أداة التعدين باستخدام cryptocurrency المتاح للعموم كبرنامج مساعد لتشغيل الأنظمة المصابة لبدء عمليات التعتيم ، بما في ذلك Monero أو Bytecoin أو Electroneum.
وعلى مدار فترة لا تزيد عن 6 أيام ، بدا أن المهاجمين يولدون ما يقرب من ألف دولار في حالات التعمية ، ومعظمهم من مونيرو.
نايجلثورن هو أيضا ثابت لمنع المستخدمين من إزالة ملحقات ضارة ، فإنه تلقائيا إغلاق علامة تبويب التمديد الخبيثة في كل مرة يفتح المستخدم فيها يمنع الإزالة.
تقوم البرامج الضارة أيضًا بسرد مجموعة متنوعة من أدوات التنظيف التي يوفرها Facebook و Google ، كما تمنع المستخدمين من إجراء التعديلات وحذف النشرات وإبداء التعليقات.
قائمة إضافات Chrome الضارة
إليك اسم جميع الإضافات السبعة التي تتنكر كمواقيات مشروعة:
- Nigelify
- PwnerLike
- بديل ي
- الإصلاح حدة
- Divine 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
على الرغم من قيام Google بإزالة كافة الملحقات المدرجة أعلاه ، إذا قمت بتثبيت أي من هذه الملحقات ، ننصح بإلغاء تثبيته على الفور وتغيير كلمات المرور الخاصة بك على Facebook و Instagram بالإضافة إلى الحسابات الأخرى التي تستخدم فيها نفس بيانات الاعتماد.
نظرًا لأن حملات Facebook Spam شائعة جدًا ، يُنصح المستخدمون باليقظة عند النقر على الروابط والملفات التي يتم تقديمها عبر نظام موقع الشبكات الاجتماعية.
- Nigelify
- PwnerLike
- بديل ي
- الإصلاح حدة
- Divine 2 Original Sin: Wiki Skill Popup
- Keeprivate
- iHabno
على الرغم من قيام Google بإزالة كافة الملحقات المدرجة أعلاه ، إذا قمت بتثبيت أي من هذه الملحقات ، ننصح بإلغاء تثبيته على الفور وتغيير كلمات المرور الخاصة بك على Facebook و Instagram بالإضافة إلى الحسابات الأخرى التي تستخدم فيها نفس بيانات الاعتماد.
نظرًا لأن حملات Facebook Spam شائعة جدًا ، يُنصح المستخدمون باليقظة عند النقر على الروابط والملفات التي يتم تقديمها عبر نظام موقع الشبكات الاجتماعية.
Commentaires
Enregistrer un commentaire