تحذير أمني: إضافة "CrashFix" الخبيثة على متصفح كروم تسرق بياناتك عبر حيلة "تعطيل المتصفح"

كشف باحثون في الأمن السيبراني عن حملة تجسس واختراق خطيرة تستهدف مستخدمي متصفح "جوجل كروم" (Google Chrome)، تستخدم إضافة خبيثة تُدعى "CrashFix" (تخفت سابقاً تحت اسم NexShield) لخداع المستخدمين وتثبيت برمجيات ضارة متطورة على أجهزتهم.

كيف تسقط الضحايا في الفخ؟

تبدأ عملية الاحتيال عندما يبحث المستخدم عن أدوات حظر الإعلانات (Ad Blockers)، ليتم توجيهه عبر إعلانات مضللة إلى إضافة على متجر كروم الرسمي تدعي أنها "المدافع المتقدم عن الويب". وبمجرد تثبيتها، تقوم الإضافة بتنفيذ هجوم "حجب الخدمة" (DoS) داخلي يؤدي إلى استهلاك ذاكرة الجهاز وتجميد المتصفح تماماً.

بمجرد تعطل المتصفح، تظهر رسالة خطأ مزيفة للمستخدم تدعي أن "المتصفح توقف بشكل غير طبيعي"، وتعرض عليه "إصلاحاً" يتطلب نسخ أمر برمجى ولصقه في نافذة التشغيل (Windows Run). هذه الحيلة، المعروفة بأسلوب "ClickFix"، تدفع المستخدم لتنفيذ برمجيات خبيثة يدوياً ظناً منه أنه يصلح المشكلة.

برمجية ModeloRAT: الجاسوس الصامت

أوضح الخبراء في شركة "Huntress" أن الهدف النهائي من هذه العملية هو زرع تروجان للتحكم عن بُعد يُدعى "ModeloRAT". تتيح هذه البرمجية للمخترقين:

• التحكم الكامل في نظام التشغيل ويندوز.

• سرقة البيانات الحساسة والملفات.

• تنفيذ أوامر برمجية عن بُعد.

• تجاوز برامج الحماية من خلال تقنيات تشفير معقدة.

استهداف بيئات العمل والشركات

ما يثير القلق في هذه الحملة (التي يُطلق عليها اسم KongTuke) هو قدرتها على التمييز بين المستخدم العادي وأجهزة الشركات المرتبطة بنطاق (Domain-joined). فبينما يتلقى المستخدم العادي "حمولات تجريبية"، يتم استهداف أجهزة الموظفين في الشركات ببرمجية ModeloRAT المتطورة، مما يشير إلى رغبة المهاجمين في اختراق الشبكات المؤسسية للوصول إلى بيانات ضخمة أو تنفيذ هجمات فدية.

نصائح للأمان:

1. الحذر من الإضافات: لا تقم بتثبيت إضافات المتصفح إلا من مطورين موثوقين، حتى لو كانت على المتجر الرسمي.

2. تجنب "نسخ ولصق" الأوامر: لا تقم أبداً بنسخ أي كود برمجي من رسالة خطأ ولصقه في نافذة (Run) أو (PowerShell).

3. تحديث المتصفح: تأكد دائماً من تحديث متصفح كروم إلى آخر إصدار واستخدام برامج مكافحة فيروسات قوية.