Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.

احذر! قراصنة يستخدمون Google.com لتوزيع برامج خبيثة متجاوزين برامج مكافحة الفيروسات

استغلال روابط OAuth الخاصة بـ Google في هجمات ديناميكية متطورة

المُلخص:

  • القراصنة يستخدمون عناوين URL حقيقية لـ Google لتمرير البرامج الضارة خلسةً عبر برامج مكافحة الفيروسات وإلى متصفحك دون أن يتم اكتشافها.
  • هذه البرامج الضارة تنشط فقط أثناء عملية الدفع، مما يجعلها تهديدًا صامتًا للمدفوعات عبر الإنترنت.
  • البرنامج النصي يفتح اتصال WebSocket للتحكم المباشر، وهو أمر غير مرئي تمامًا للمستخدم العادي.

ظهرت حملة جديدة من البرامج الضارة المستندة إلى المتصفح، توضح كيف يستغل المهاجمون الآن نطاقات موثوقة مثل Google.com لتجاوز دفاعات مكافحة الفيروسات التقليدية. هذه الهجمات تمثل تحديًا كبيرًا للأمن السيبراني.

وفقًا لـ تقرير صادر عن باحثي الأمن في c/side، هذه الطريقة خفية، ويتم تشغيلها بشكل مشروط، ويصعب على كل من المستخدمين وبرامج الأمان التقليدية اكتشافها. يعتمد هذا الأسلوب على استغلال ثقة المستخدمين في نطاق Google.com.

يبدو أن الهجوم ينشأ من عنوان URL شرعي متعلق بـ OAuth، ولكنه ينفذ سرًا حمولة ضارة مع وصول كامل إلى جلسة متصفح المستخدم. هذا يسمح للقراصنة بسرقة بيانات حساسة، مثل معلومات بطاقات الائتمان وكلمات المرور، دون علم المستخدم. يجب على المستخدمين توخي الحذر الشديد عند منح الأذونات لتطبيقات الطرف الثالث، حتى لو كانت تبدو مرتبطة بـ Google.

صورة تمثيلية لقراصنة

برامج ضارة مُتخفية

تبدأ هذه الهجمة الإلكترونية بحقن سكريبت خبيث في موقع تجارة إلكترونية مبني على منصة Magento. هذا السكريبت يشير إلى رابط يبدو بريئًا لتسجيل الخروج من حساب Google OAuth: https://accounts.google.com/o/oauth2/revoke.

لكن هذا الرابط يتضمن مُعامل استرجاع (callback parameter) مُعدّل، يقوم بفك تشفير وتنفيذ حمولة JavaScript مُبهمة باستخدام الدالة eval(atob(…)).

يكمن جوهر الخدعة في استخدام نطاق Google الموثوق. فبما أن السكريبت يتم تحميله من مصدر موثوق، فإن معظم سياسات أمان المحتوى (CSPs) وفلاتر نظام أسماء النطاقات (DNS) تسمح بمروره دون أدنى شك. وهذا ما يجعل اكتشاف هذا النوع من الهجمات تحديًا كبيرًا.

لا يتم تفعيل هذا السكريبت إلا في ظل ظروف معينة. فإذا بدا المتصفح آليًا أو إذا كان عنوان URL يتضمن كلمة “checkout”، فإنه يفتح بصمت اتصال WebSocket بخادم خبيث. هذا يعني أن السكريبت قادر على تكييف سلوكه الخبيث مع إجراءات المستخدم، مما يزيد من فعاليته.

أي حمولة يتم إرسالها عبر هذه القناة يتم ترميزها بصيغة base64، ثم فك تشفيرها وتنفيذها ديناميكيًا باستخدام الدالة Function الخاصة بلغة JavaScript.

بهذا الإعداد، يتمكن المهاجم من تشغيل التعليمات البرمجية عن بُعد في المتصفح في الوقت الفعلي، مما يمنحه سيطرة كاملة على بيئة المستخدم.

أحد العوامل الرئيسية التي تؤثر في فعالية هذه الهجمة هو قدرتها على التهرب من العديد من أفضل برامج مكافحة الفيروسات الموجودة حاليًا في السوق.

مقالات ذات صلة

إن منطق السكريبت مُبهم بشدة ولا يتم تفعيله إلا في ظل ظروف معينة، مما يجعله غير قابل للاكتشاف حتى بواسطة أفضل تطبيقات مكافحة الفيروسات على نظام Android وأدوات الفحص الثابت للبرامج الضارة.

لن تقوم هذه الأدوات بفحص أو الإبلاغ عن أو حظر حمولات JavaScript التي يتم تسليمها عبر تدفقات OAuth المشروعة ظاهريًا.

كما أن فلاتر DNS أو قواعد جدار الحماية توفر حماية محدودة، لأن الطلب الأولي يتم توجيهه إلى نطاق Google الشرعي.

في بيئة المؤسسات، حتى بعض من أفضل أدوات حماية نقاط النهاية قد تجد صعوبة في اكتشاف هذا النشاط إذا كانت تعتمد بشكل كبير على سمعة النطاق أو تفشل في فحص تنفيذ السكريبت الديناميكي داخل المتصفحات.

في حين أن المستخدمين المتقدمين وفرق الأمن السيبراني قد يستخدمون وكلاء فحص المحتوى أو أدوات تحليل السلوك لتحديد الحالات الشاذة مثل هذه، إلا أن المستخدمين العاديين لا يزالون عرضة للخطر.

إن تقييد استخدام سكريبتات الطرف الثالث، وفصل جلسات المتصفح المستخدمة للمعاملات المالية، والبقاء متيقظين بشأن سلوكيات الموقع غير المتوقعة، كلها أمور يمكن أن تساعد في تقليل المخاطر على المدى القصير.

زر الذهاب إلى الأعلى