إذ تكشف قائمة الملحقات الضارة في متصفح كروم Chrome، الموجودة أدناه، عن المخاطر الكامنة وراء التنزيلات غير الآمنة، أو التي تم فحصها بشكل سيئ، أو التنزيلات المتوفرة مجانًا عبر الويب والموجودة على مواقع جهات خارجية.

ما هو امتداد المتصفح أو الملحق؟

امتداد المتصفح هو برنامج يعمل على ربط المتصفح – أو أدوات متصفح معينة – بصفحات ويب أخرى. يمكن لهذه الإضافات تحليل المعلومات وتعديل أو مراقبة إجراءات المستخدم وتوفير وظائف إضافية عبر مواقع التصفح المختلفة.

بعض الملحقات المستخدمة الأكثر شيوعًا هي Grammarly و AdBlock و LastPass و Google Calendar و Scribe. في حين أن معظم الملحقات غير ضارة ويمكن أن تكون مفيدة جداً، إلا أن المستخدم لا زال قادراً على تنزيل برامج ضارة من دون قصد، قد تسمح للمتسللين بالوصول إلى المعلومات الشخصية للمستخدم أو التسبب بتلف الأجهزة الالكترونية؟

ملحقات ضارة على متصفح كروم

يعد Google Chrome متصفح الويب الأكثر شيوعًا في جميع أنحاء العالم، ويقوم بدعم أكثر من 130 ألف ملحق. هذه الاختصارات الفريدة آمنة عموماً ويدعمها كروم من دون مشاكل، ولكن هذا لا يعني أن كل الإضافات الموجودة على الويب آمنة.

تتضمن القائمة المدرجة أدناه بعضًا من أشهر الإضافات والملحقات التي يجب أن يكون مستخدمو متصفح كروم على دراية بها، ومن الأفضل توخي الحذر الشديد منها.

Netflix Party

يسمح امتداد Netflix Party للمستخدمين بعرض الوسائط المتعددة بشكل متزامن، ولكن لقد تم استخدامه فعليًا لنشر الروابط الخبيثة التي تقوم بتتبع البصمة الرقمية وضخ الروابط التابعة في الصفحات المناسبة. يمكن لمالكي هذا الامتداد تحقيق ربح مادي بناءً على سجل تصفح المستخدم.

Netflix Party 2

كان Netflix Party 2 مشابهًا لسابقه Netflix Party، والذي حاول أيضًا إدخال روابط تابعة في تصفح المستخدم. قد يتمكن هذا الملحق من إخفاء نواياه الخبيثة لفترة زمنية، أي من خلال الانتظار لعدة أيام قبل بدء حقن الروابط الخبيثة.

Full Page Screenshot Capture — Screenshotting

قام أكثر من 200 ألف مستخدم بتنزيل هذا الملحق قبل الكشف عن سلوكه الضار. تم تصميمه لأخذ لقطات شاشة لصفحات الويب بنقرة واحدة، ولكنه كان يقوم فعلياً بتعقب بيانات المستخدم وتغيير موقع بعض ملفات تعريف الارتباط على مواقع التجارة الإلكترونية لإخفاء عنوان URL الأصلي للمستخدم وتشبيهه بموقع إحالة.

friGate Light

لقد تم تصميم FriGate Light للوصول إلى المواقع المقفلة وتشفير بيانات حركة مرور المستخدم. ولكن للأسف، كان يحتوي هذا الامتداد على برامج ضارة، تم استخدامها للوصول إلى بيانات المستخدم. بالإضافة إلى ذلك، كان يطلب من المستخدمين الذين يقومون بتنزيل هذا الامتداد تزويد FriGate Light بإذن للوصول إلى عدد من البيانات الحساسة الموجودة على جهاز المستخدم.

friGate CDN

على غرار FriGate Light، تم تصميم FriGate CDN لتمكين المستخدمين من الوصول إلى المواقع المحجوبة. يحتوي هذا الامتداد أيضًا على برامج ضارة، يمكنها الوصول إلى بيانات المستخدم الحساسة. كما كان يقوم هذا الامتداد أيضًا بتوجيه المستخدمين إلى مواقع ثانوية كان من الممكن استخدامها لجمع البيانات أو إصابة الأجهزة ببرامج خبيثة.

SaveFrom.Net

هل سبق لكم أن أردتم تنزيل الوسائط المتعددة من مواقعكم المفضلة مثل YouTube و TikTok و Facebook وغيره، بنقرة واحدة فقط؟ إذا كان الأمر كذلك، فأنتم لستم لوحدكم! ولهذا السبب أصبح SaveFrom.Net مشهورًا. إذ سمح هذا الامتداد للمستخدمين بتنزيل مقاطع الفيديو والموسيقى بسرعة، ولكنه كان يجمع أيضًا بيانات المستخدم مثل عناوين IP وسلوك التصفح وغيرها والتي جرى أو كان من الممكن تسريبها عند استخدام الموقع.

SHARPEXT

هذا الامتداد معروف جداً في عالم برامج التجسس عبر البريد الإلكتروني. تم إنشاء هذا الامتداد ونشره بواسطة SharpTongue ، المعروف أيضًا باسم Kimsuky. وهو متسلل سيء السمعة معروف بسرقة وكشف المعلومات الخاصة، بما في ذلك أسماء المستخدمين وكلمات المرور. تم تصميم SHARPEXT للتسلل إلى حسابات البريد الإلكتروني واستخراج البيانات الحساسة والتجسس المستمر على سلوكيات المستخدم.

Hola VPN – The Website Unblocker

هو عبارة عن أداة تسمح للمستخدم بإلغاء حظر مواقع ويب مجانية أو مواقع محجوبة أو غيره، أي تم إنشاؤه لإزالة أي حواجز قد تعيق تجربة المستخدم ععلى الإنترنت. ومع ذلك، فقد شهد امتداد Chrome الضار هذا العديد من الخروقات الأمنية ونقاط الضعف أثناء تتبع السلوك سراً وترك حركة مرور الويب غير مشفرة.

Dormant Colors Campaign

إضافة Dormant Colors ليست مجرّد امتداد واحد ضار على متصفح كروم، وإنما هو في الحقيقة مجموعة من 30 إضافة فريدة وخطيرة قام ملايين المستخدمين بتنزيلها. تم حقن هذه الامتدادات بشفرات ضارة يقوم المستخدم بتفعيلها بمجرد تقديم الملحق إلى المتصفح، لتقوم بشن هجمات سرقة المعلومات. لسوء الحظ، لا تزال هذه الحملة قيد التشغيل الآن على الرغم من إلغاء تنشيط العديد من الإضافات الضارة المتأثرة فعلاً.

ومع ذلك، هناك بعض الطرق التي يمكن من خلالها كشف الملحقات الخبيثة على متصفح كروم واتخاذ الإجراءات اللازمة.

The post 9 ملحقات ضارة على متصفح كروم.. احذروا منها! appeared first on Cyber Arabs.

أسباب الوقوع في فخ عمليات الاحتيال

– المحتالون يزدادون ذكاءً

عندما بدأ المهاجمون يستخدمون البريد الإلكتروني لتنفيذ عمليات الاحتيال، كانت العملية بدائية للغاية. نذكر على سبيل المثال عملية الاحتيال النيجيرية الكلاسيكية التي كانت تدعو مستلم البريد الإلكتروني للحصول على حصته الكبيرة من ثروة هائلة تركها أحد الأقارب. وفي مقابل بضعة آلاف من الدولارات التي يطلبها المحتالون لإتمام الصفقة، سيضمن مستلمو البريد الإلكتروني (الضحايا) عدة ملايين في المقابل.

مع انتشار أخبار الاحتيال وتوسع رقعتها وازدياد وتيرتها، أصبح الناس أكثر وعياً بالمخاطر الكامنة وراء هذه الرسائل فباتوا يتجاهلونها تلقائياً بدافع العادة. لذلك قام المحتالون بتحسين تقنياتهم بشكل كبير في محاولة لخداع المستخدمين غير المخضرمين في أمور الأمن السيبراني.

وبالتالي، أصبحت رسائل البريد الإلكتروني الخادعة مصممة خصيصاً حيث يتم توجيه الحديث فيها مباشرة إلى اسم المستخدم لتبدو شرعية تماماً. هذه الهجمات أثبتت فعاليتها وباتت تحصد آلاف الضحايا الجدد كل عام.

في الآونة الأخيرة، جدد المتسللون استراتيجياتهم، فانتقلوا إلى اختراق شبكات الشركات للاستحواذ على بياناتها وإرسال رسائل بريد إلكتروني إلى الموظفين متظاهرين بأنهم زملاء في العمل، فيطلبون بيانات حساسة مثل كلمات المرور وأرقام بطاقات ائتمان الشركة وغيره.

– الهجمات الإلكترونية أصبحت أكثر تعقيداً

في عمليات الاختراق الكبرى، يستثمر مجرمو الإنترنت شهوراً عديدة في تحليل هدفهم والبحث عن نقاط الضعف. قد يتضمن هذا اقتحام مئات أجهزة الكمبيوتر في طريقهم إلى هدفهم. وقد يسمح اختراق جهاز الكمبيوتر المنزلي الخاص بكم بالوصول إلى أنظمة الشركة التي تعملون بها على سبيل المثال.

الهجمات الإلكترونية الحديثة متعددة المراحل وتعمل في الخفاء ومن الصعب اكتشافها. فما لم يكن يعرف خبراء الأمن ما الذي يبحثون عنه بالضبط، وما لم يتم استخدام أداة موثوقة لمكافحة البرامج الضارة، فمن المستحيل تقريباً تحديد ما يحد في خبايا أجهزتكم الذكية.

– التقليل من المخاطر

غالباً ما نقلل من مخاطر الجرائم الإلكترونية. إذا لم يقع الشخص ضحية للقرصنة أو البرامج الضارة، فقد يعتقد أن ذلك لن يحدث له. ومن السهل جداً الشعور بالرضا عن النفس مع مرور الوقت، مما يتركه عرضة للهجمات في أي لحظة.

هناك الكثير من الأسباب التي تجعلنا نرتكب هذا الخطأ. إذا كنا نعمل من المنزل، فقد نفترض أن صاحب العمل يهتم بأمننا السيبراني بالنيابة عنا. أو نستخدم نظاماً مجانياً لحظر الإعلانات من دون أن ندرك أنه لا يوقف تنزيلات البرامج الضارة. أو ربما نكون قد اقتنعنا بالشائعة التي تقول بأن أجهزة كمبيوتر Apple لا يمكنها الإصابة بالفيروسات.

كيف يمكننا الحفاظ على سلامتنا؟

التعامل مع هذه المشكلات الثلاثة أسهل مما قد نعتقد:

أولاً، يجب تنزيل وتثبيت أداة فعالة لمكافحة الفيروسات، وتحديثها باستمرار.

ثانياً، يجب أن نكون على دراية بما يحدث على جهاز الكمبيوتر والإنترنت. من الأفضل قراءة رسائل البريد الإلكتروني بعناية شديدة وعدم النقر على أي روابط غريبة ومشكوك بأمرها، أو قادمة من مصادر مجهولة.

The post لماذا لا نزال نقع في فخ عمليات الاحتيال عبر الإنترنت؟ appeared first on Cyber Arabs.

قد يقوم المهاجمون بإخفاء هذه الحمولات الضارة على شكل أزرار المشاركة الخاصة بمواقع التواصل الاجتماعي والتي تحاكي المنصات البارزة مثل فيسبوك وتويتر وانستغرام، أو على شكل كاشطات بطاقات الائتمان.

كاشطات بطاقات الائتمان عبارة عن نصوص برمجية تستند إلى JavaScript، يتم حقنها في صفحات الخروج الخاصة بمواقع التجارة الإلكترونية المخترقة من قبل مجموعات Magecart الخبيثة والمسؤولة عن الجرائم الإلكترونية.

وبمجرد تحميلها في المتاجر المستهدفة، تقوم البرامج النصية تلقائياً بجمع معلومات الدفع والمعلومات الشخصية التي يرسلها العملاء وتسربها إلى الخوادم الخاضعة لسيطرة Magecart.

برمجيات خبيثة تتهرب من الماسحات الأمنية

تم اكتشاف البرمجيات الخبيثة الجديدة من قبل شركة الأمن السيبراني الهولندية Sansec، والتي تعمل على حماية مواقع التجارة الإلكترونية من الهجمات الرقمية الاحتيالية (المعروفة أيضاً باسم Magecart).

وتقوم البرمجيات الخبيثة بإخفاء كود النص البرمجي للكاشطة التي تسرق بطاقات ائتمان العملاء داخل أيقونة “المشاركة” التي يتم تحميلها كعنصر “HTML” svg. وبذلك يمكن إخفاء الكود المصدري للكاشطة داخل حاوية على شكل منصات الوسائط الاجتماعية (على سبيل المثال ، facebook_full و twitter_full و instagram_full و youtube_full و pinterest_full و google_full).

هذا ويتم استخدام وحدة فك ترميز خاصة يتم نشرها بشكل منفصل في مكان ما على خادم موقع التجارة الإلكترونية، تسمح للمهاجمين باستخراج رمز سرقة بطاقة الائتمان.

يزيد هذا الأسلوب من فرص تهرب البرمجيات الخبيثة من الماسحات الأمنية نظراً لأن أداة تحميل البرامج الضارة ليست مخزنة في نفس الموقع مع حمولة الكاشطة، كما جرت العادة، مما لا يسمح للأنظمة الأمنية برصدها في التحليل السطحي.

تجدر الإشارة إلى أنه تم اكتشاف برامج ضارة مماثلة تستخدم تقنية التحميل المبتكرة هذه لمرة الأولى في يونيو 2020، ولكنها لم تكن متطورة وغير شائعة. ويبدو أن المهاجمين قد قاموا مؤخراً بتطوير هذه الاستراتيجية في زرع البرمجيات الخبيثة في محاولة ذكية لسرقة بيانات اعتماد بطاقات الائتمان، والتي تسمح لهم لاحقاً بسرقة الأموال أو التصرف بها كما يحلو لهم تحقيقاً لمآرب سيئة أخرى.

The post اكتشاف برمجيات خبيثة مخبأة داخل أيقونات المشاركة على الويب appeared first on Cyber Arabs.

ويشرحون خطوة روبن هود هذه على أنها محاولة لجعل العالم مكاناً أفضل للعيش، متوعدين بتقديم المزيد من التبرعات في المستقبل، ولكن من دون الكشف عن هويتهم الحقيقية.

Darkside بين البرامج الخبيثة وأموال الابتزاز

ظهر Darkside في مشهد برامج الفدية في أغسطس من هذا العام، مستهدفاً شبكات الشركات وطلباً ما بين 200000 و 2 مليون دولار أميركي لتقديم مفتاح فك تشفير الملفات المسروقة.

ثم تم الإعلان عن تبرعاتهم للمنظمتين الخيريتين في “بيان صحفي” على موقع تسريب العصابة، حيث قاموا أيضاً بنشر بيانات مسروقة من الضحايا الذين لم يدفعوا الفدية.

وذكر البيان الصحفي الأول الصادر عن Darkside ransomware: “نحن نستهدف الشركات الكبيرة المربحة فقط. نعتقد أنه من العدل أن تذهب بعض الأموال التي دفعوها إلى الأعمال الخيرية. بغض النظر عن مدى سوء عملنا، فنحن سعداء لأننا نعلم أننا ساعدنا في تغيير حياة شخص ما”.

في 13 أكتوبر 2020، أظهر Darkside دليلاً على أن لفتتهم كانت حقيقية من خلال نشر إيصالين مقابل 0.88 BTC (10000 دولار) للتبرعات التي تم إرسالها إلى المنظمتين.

وتبرع مشغلو Darkside Ransomware بالمال عبر استخدامThe Giving Block ، وهي منظمة تقدم للمنظمات غير الربحية إمكانية قبول التبرعات بالعملات المشفرة. مستخدمين أيضاً خدمة خلط العملات المشفرة التي تخفي تتبع مسار التحويل إلى المصدر الأصلي.

الجمعيات الخيرية

تتمثل مهمة منظمة الأطفال الدولية في مساعدة الأطفال الذين يعيشون في حالة الفقر على تغيير حياتهم للأفضل من خلال منحهم إمكانية الوصول إلى الرعاية الصحية والدعم التعليمي والمهارات الحياتية والتدريب الوظيفي قبل التخرج.

فيما يحارب مشروع المياه أزمة المياه في أفريقيا جنوب الصحراء من خلال تمكين المجتمعات المحلية في المنطقة من الحصول على مياه نظيفة وآمنة وموثوقة.

وفي حين أن المنظمتين قد تستخدمان الأموال لدعم المشاريع الجيدة، فمن غير المرجح أن يحدث هذا لأنه ناتج عن أنشطة إجرامية. إذ قالت منظمة الأطفال الدولية لقناة “بي بي سي” الشهيرة إنهم لن يحتفظوا بهذه الأموال.

في المقابل، يخطط مشغلو برامج الفدية لتقديم المزيد من التبرعات مجهولة المصدر في المستقبل. فهل سيتم رفض هذه التبرعات أيضاً؟ أم سيتم قبولها؟ الجواب رهن المساعدات القادمة.

The post البرامج الخبيثة تتبرع بـ20 ألف دولار من أموال الابتزاز للجمعيات الخيرية! appeared first on Cyber Arabs.

دودة خبيثة في Apple iCloud

من بين العيوب الخطيرة الموجودة في الأجزاء الأساسية من البنية التحتية لشركة Apple، تلك التي كانت ستسمح للمهاجم بتعريض تطبيقات العملاء والموظفين للخطر عبر إطلاق دودة خبيثة قادرة على الاستيلاء تلقائياً على حساب الضحية على iCloud مما يسمح للمهاجمين بسرقة جميع المستندات والصور ومقاطع الفيديو الخاصة.

هذا بالإضافة إلى التمكن من ولوج شفرات المصادر الخاصة بمشاريع آبل الداخلية، والسيطرة الكاملة على برنامج مستودع التحكم الصناعي الذي تستخدمه Apple، والقدرة على إدارة جلسات موظفي الشركة مع إمكانية الوصول إلى أدوات الإدارة والموارد الحساسة.

ومن بين 55 نقطة ضعف تم اكتشافها، تم تصنيف 11 منها بدرجة حرجة، و 29 حالة شديدة الخطورة، و 13 بدرجة خطورة متوسطة، واثنتان بدرجة خطورة منخفضة. صنف الباحثون الأخطاء بناءً على تصنيف شدة الضعف في CvSS، وتأثيرها المرتبط بالعمل اليومي.

علاقة الثغرة بخدمة البريد الالكتروني

خدمة البريد الالكتروني هي عبارة عن نظام أساسي كامل يسمح للمستخدمين بإرسال واستقبال رسائل البريد الإلكتروني المشابهة لـ Gmail و Yahoo. بالإضافة إلى ذلك، يحصل المستخدم على تطبيق بريد على كل من iOS و Mac يتم تثبيته افتراضياً على المنتجات. وبذلك يتم استضافة خدمة البريد www.icloud.com جنباً إلى جنب مع جميع الخدمات الأخرى، مثل تخزين الملفات والمستندات.

وبالتالي، من منظور المهاجمين، أي ثغرة أمنية في البرمجة النصية عبر المواقع الالكترونية ستسمح للمهاجم بالدخول وسرقة أي معلومات يريدها من خدمة iCloud، والخدمات المرتبطة بها.

تجدر الإشارة إلى أنه ولسوء الحظ، لا يوجد ضمانات على أن هذه الثغرات الأمنية لم يتم استغلالها من قبل جهات تهديد متطورة قامت سابقاً بشن الهجومات الصامتة على الضحايا. والأسوأ من ذلك، من المحتمل وجود المزيد من الثغرات المماثلة غير المكتشفة وقد تكون معروفة لدى مجموعات القرصنة التي تجني الكثير من المال من خلال استغلالها يومياً.

The post دودة خبيثة في Apple iCloud تسمح بسرقة الصور تلقائيا.. فاحذروا! appeared first on Cyber Arabs.

وحقيقة أن العديد من العاملين في المنزل قد يكونون أكثر تشتتًا مما لو كانوا في المكتب، خاصة إذا كان لديهم أطفال صغار، تساعد القراصنة نوعا ما في عملهم. فقد يتشارك الأطفال نفس أجهزة الكمبيوتر المحمولة أو الأجهزة الالكترونية الشخصية مع أهلهم، ويحتمل أن يزوروا مواقع خطرة أو يقومون بتنزيل تطبيقات غير معتمدة.

هناك أيضا احتمال كبير، ما لم يكن هناك جهاز خاص في المنزل من الشركة التي تعملون بها، أن تكون معدات الحوسبة الشخصية الخاصة بكم أقل أمانًا من المجموعة التي لديكم في المكتب. أضف إلى ذلك حقيقة أن الدعم المقدم من قسم تكنولوجيا المعلومات قد يكون أقل استجابة من المعتاد، نظرًا لأن الفرق الموجودة غارقة في الطلبات، بينما هم أنفسهم يكافحون من أجل الصمود.

احذروا عمليات القرصنة الشريرة

حان الوقت إذا لتكثيف الجهود الشخصية في محاولة ضمان الأمن السيبراني الخاص بأفراد العائلة. ولفعل ذلك، يجب الاطلاع أولا على التهديدات المحتملة التالية:

– قد يتم اختراق أجهزة التوجيه المنزلية والأجهزة الذكية غير الآمنة في هجمات أكثر تعقيدًا مصممة لسرقة البيانات من شبكات الشركة عبر العامل المنزلي.

– هجمات التصيد الاحتيالي التي تنتحل صفة علامات تجارية معروفة أو تستخدم معلومات / أخبار COVID-19 كإغراء. هذا وتحظر غوغل 18 مليون رسالة بريد إلكتروني ضارة تحت عنوان الوباء كل يوم. قد يكون الهدف النهائي هو الاستيلاء على حسابات المستهلكين عبر الإنترنت: Netflix، الخدمات المصرفية، البريد الإلكتروني، التسوق عبر الإنترنت أو حسابات العمل. فيما تم تصميم رسائل البريد الإلكتروني المخادعة الأخرى لتثبيت البرامج الضارة لسرقة البيانات وبرامج الفدية والتهديدات الأخرى.

– قد يستهدف المهاجمون أيضا الثغرات الأمنية في أجهزة الكمبيوتر المنزلية والتطبيقات التي تستخدمونها للوصول عن بُعد (مثل تطبيقات مؤتمرات الفيديو وما إلى ذلك).

هجمات القرصنة الأخرى

– قد يحاول القراصنة اختراق البريد الإلكتروني الخاص بالأعمال عبر الاستفادة من نقص الاتصالات الداخلية بين العمال عن بُعد، لانتحال صفة كبار المسؤولين التنفيذيين عبر البريد الإلكتروني، وخداع أعضاء فريق الشؤون المالية لتحويل أموال الشركات إلى الخارج.

– يعرّض الأطفال، عن غير قصد، الشبكات والأجهزة المنزلية لجميع أنواع البرامج الضارة بسبب زيارة مواقع الانترنت واستخدام تطبيقات الأجهزة المحمولة وروابط وسائل التواصل الاجتماعي. فيقعون ضحية هجمات التصيد التي يحتمل أن تحاكي منصات التعلم عن بُعد ومؤتمرات الفيديو.

– الأطفال الذين يبحثون عن محتوى للبالغين / غير مناسب، أو أولئك الذين يشعرون بالملل فيقومون بتصفح وسائل التواصل الاجتماعي بشكل مبالغ. إذ حذرت منظمة الأمم المتحدة للطفولة (يونيسيف) من أن ملايين الأطفال يتعرضون لضرر متزايد عبر الإنترنت لأن الإغلاق يعني أنهم يقضون المزيد من أيامهم على الإنترنت.

– تمثل تطبيقات الأجهزة المحمولة مصدرًا محتملاً للبرامج الضارة، خاصة تلك الموجودة في متاجر التطبيقات غير الرسمية. هذا وتم الإبلاغ عن ارتفاع بنسبة 51٪ في برامج الملاحقة – تطبيقات المراقبة السرية التي يستخدمها المعتدون المحليون والمطاردون لاستهداف الضحايا.

تجدر الإشارة أيضا إلى أن وباء فيروس كورونا أدى إلى زيادة كبيرة في الاحتيال ضمن التجارة الإلكترونية، حيث يتم خداع المستهلكين لشراء منتجات غير موجودة أو سلع مقلدة بما في ذلك المواد الطبية.

The post احذروا عمليات القرصنة الشريرة في زمن فيروس كورونا؟ appeared first on Cyber Arabs.

حملة برامج ضارة مستمرة تم رصدها منذ شهر يوليو وتعمل على النحو التالي:

– يرسل المهاجمون رابطًا ضارًا إلى الضحايا.

– بمجرد النقر على هذا الرابط، يتم استخدام تقنية JavaScript blob لتهريب الملفات الضارة عبر المتصفح إلى نقطة نهاية المستخدم (أي تهريب HTML).

تجدر الإشارة إلى أن Blobs تعني “الكائنات الثنائية الكبيرة” وهي مسؤولة عن الاحتفاظ بالبيانات، بواسطة متصفحات الويب.

ونظرًا لأن تهريب HTML ليس بالضرورة أسلوبًا جديدًا يلجأ إليه القراصنة، بحيث استخدمه المهاجمون لفترة طويلة من الوقت. تُظهر هذه الحملة أن الجهات الفاعلة السيئة تستمر في الاعتماد على أساليب الهجوم القديمة التي أثبتت جدواها بأنها تعمل حقا.

وبذلك يجب الحذر دائما من عدم النقر على أي طلب غير رسمي وغير شرعي، من خارج الجهات الآمنة والمألوفة التي يستعملها المستخدم. كما أنه يجب تجنب الضغط على أي طلبات مقترحة، خصوصا عند البحث داخل مواقع الكترونية غير آمنة وغير محمية، مما قد يعرض معلوماتكم الشخصية وبياناتكم الخاصة إلى خطر السرقة.

The post باحثون يحذرون من حملة برامج ضارة نشطة على HTML appeared first on Cyber Arabs.

وجد الباحثون أن هذه الميزة قد تم تنفيذها وعرضها للاستخدام بشكل غير آمن، موضحين أن فحص التحقق من نوع الملف نظر فقط إلى حقل “نوع المحتوى” أثناء التحميل، والذي يمكن انتحاله بسهولة. هذا يعني أنه إذا احتوى الاختبار على تحميل ملف تم تكوينه لقبول ملفات .txt فقط، فيمكن تحميل ملف PHP قابل للتنفيذ عن طريق تعيين حقل “نوع المحتوى” على “نص / عادي” لتجاوز عمليات التحقق الضعيفة للمكون الإضافي.

خدمة الاختبارات على ورد برس قد تضعكم في خطر

في العالم الحقيقي، يمكن للمستخدمين غير المصادقين الاستفادة من هذا الخلل عن طريق تحميل ملفات ضارة وتعسفية، بما في ذلك ملفات PHP. وقال الباحثون إن ذلك سيمكنهم من تنفيذ التعليمات البرمجية عن بُعد، وفي نهاية المطاف، قد يؤدي ذلك إلى الاستيلاء الكامل على الموقع واستضافة تسوية الحساب، من بين العديد من السيناريوهات الأخرى المحتملة.

في سياق آخر، لوحظ خطأ تعسفي في إمكان حذف الملف داخل وظيفة المكون الإضافي لإزالة أي ملفات تم تحميلها أثناء الاختبار. نظرًا لعدم مصادقة إجراءات AJAX في وظيفة حذف الملفات، يمكن للمستخدم غير المصادق حذف الملفات المهمة مثل ملف wp-config.php لموقع الويب. وهو ملف WordPress أساسي يحتوي على معلومات حول قاعدة البيانات، بما في ذلك اسم المستخدم وكلمة المرور التي تسمح لـ WordPress بالاتصال بالقاعدة الأساسية لتخزين البيانات واستردادها.

إذا تم حذف ملف wp-config.php، يفترض WordPress أن هناك تثبيتًا جديدًا سيحصل عند هذه النقطة. وهنا يمكن للمهاجم إنشاء قاعدة بيانات جديد تسمح بالوصول إلى الموقع وتحميل webshell لتحقيق الاستمرارية، أو إصابة المواقع الأخرى المدرجة في نفس الحساب المخروق.

اكتشف الباحثون العيوب في 17 يوليو ، وبعد عدة محاولات فاشلة للاتصال بفريق البرنامج المساعد QSM ، تواصلوا أخيرًا مع الشركة الأم للمكون الإضافي ، ExpressTech في 1 أغسطس. تم إصدار التصحيح في 5 أغسطس في الإصدار 7.0.1 ومن الأفضل الحصول على هذا التحديث بأسرع وقت ممكن للحفاظ على الموقع محميًا ضد أي هجمات تحاول استغلال هذه الثغرة الأمنية.

The post خدمة الاختبارات على ورد برس قد تسمح للمهاجمين بالاستيلاء على الموقع! appeared first on Cyber Arabs.

تم العثور على الخطأ (CVE-2020-6519) في Chrome و Opera و Edge على أنظمة Windows و Mac و Android . ومن المحتمل أن يؤثر على مليارات مستخدمي الويب الذين يستخدمون إصدارات Chrome القديمة. وبذلك يجب على المستخدمين تنزيل تحديثات غوغل كروم الجديدة لتجنب الوقوع ضحية هذا الخطأ الأمني.

CSP هو معيار أمني يهدف إلى إحباط أنواع معينة من الهجمات على الويب، بما في ذلك هجمات البرمجة النصية عبر المواقع (XSS) وهجمات حقن البيانات. يسمح CSP لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ. سيقوم المستعرض المتوافق مع CSP بعد ذلك فقط بتنفيذ البرامج النصية المحملة في الملفات المصدر المستلمة من تلك المجالات.

تجدر الإشارة إلى أن معظم مواقع الويب تستخدم CSP، بما في ذلك عمالقة الإنترنت مثل ESPN و Facebook و Gmail و Instagram و TikTok و WhatsApp و Wells Fargo و Zoom. وفيما وقع غوغل كروم ضحية المشكلة، لم تتأثر بعض الأسماء البارزة الأخرى بما في ذلك GitHub و Google Play Store و LinkedIn و PayPal و Twitter وصفحة تسجيل الدخول إلى Yahoo و Yandex.

مشكلة متصفح غوغل كروم

لاستغلال الثغرة الأمنية، يحتاج المهاجم أولاً إلى الوصول إلى خادم الويب من خلال كلمات المرور، حتى يتمكن من تعديل كود JavaScript الذي يستخدمه. بعد ذلك، يمكن للمهاجم إضافة إطار src أو توجيه child-src في JavaScript للسماح للشفرة المحقونة بتحميلها وتنفيذها، متجاوزًا فرض CSP وبالتالي تجاوز سياسة الموقع.

تصنف هذه المشكلة على أنها متوسطة الخطورة أي 6.5 من 10 على مقياس CvSS. ومع ذلك، نظرًا لأنها تؤثر على تطبيق CSP، وعلى عدد كبير جدا من المستخدمين حول العالم، تم التعامل مع الأمر بشكل جدي جدا.

في سياق متصل، قد يسمح مطورو مواقع الويب لنصوص الطرف الثالث بإضافة وظائف إلى صفحة الدفع الخاصة بهم على سبيل المثال، مع العلم أن CSP سيقيد الوصول إلى المعلومات الحساسة. لذلك، عند تعطل CSP، من المحتمل أن تكون المخاطر على المواقع التي تعتمد عليها أعلى مما كان يمكن أن تكون عليه إذا لم يكن لدى الموقع CSP أصلا.

كانت الثغرة الأمنية موجودة في متصفحات Chrome لأكثر من عام قبل أن يتم إصلاحها، لذلك يجب الحذر من الآثار الكاملة للخطأ والتي لم تُعرف بعد. فمن المرجح أن يتعرف العالم على انتهاكات البيانات في الأشهر المقبلة والتي تم استغلالها من قبل المهاجمين عبر استخراج معلومات التعريف الشخصية (PII) لأغراض شائنة.

The post احذروا متصفح غوغل كروم.. فقد تتعرض بياناتكم إلى السرقة! appeared first on Cyber Arabs.

وفي التفاصيل، تسعة وعشرون تطبيقا سيئا للجوّال مع 3.5 مليون عملية تنزيل مجتمعة لتطبيقات الصور الضارة، والمثير للاهتمام في هذا الموضوع أن رموز التطبيقات معدة لتختفي من الشاشة الرئيسية للجهاز بعد وقت قصير من تنزيلها.

التطبيقات الخبيثة الـ29 اكتشفها باحثون في فريق White Ops Satori Threat Intelligence and Research Team  بعدما أظهرت كميات كبيرة من حركة مرور الإعلانات بشكل مريب، وذلك خلال تحقيقات تقوم بها الشركة لمطاردة التهديدات.

أطلق الفريق المؤلف من الباحثين غابي سيرليغ ومايكل غيثرز وماريون حبيبي وكريستوفر سو ودينا هينز على الحملة اسم “ChartreuseBlur”، ويعود ذلك جزئيا إلى أن غالبية التطبيقات تتضمن كلمة “Blur” في اسم الحزمة الخاصة بها. فيما يزعم آخرون أن هذه التطبيقات تسمح للمستخدمين بطمس وتمويه أجزاء من الصورة، وبذلك تستخدم خدمة Blur.

تطبيقات خبيثة قد تؤذي جهازكم.. فكيف تعمل؟

في سياق متصل، أوضح الباحثون أن هناك العديد من الخصائص الرئيسية التي يمكن أن تنبه المستخدمين إذا وقعوا ضحية تنزيل أحد هذه التطبيقات السيئة.

إحدى السمات المميزة للتطبيق هي أنه بمجرد تنزيله، يقوم بإخفاء الرمز من الشاشة الرئيسية مما يجبر المستخدمين على الانتقال إلى قائمة الإعدادات للعثور على التطبيق في حال أرادوا التأكد من إذا تم تثبيته أو فتحه. هذا يجعل من الصعب للغاية على المستخدم العادي إزالة التطبيق من الهاتف بشكل سهل.

على سبيل المثال، أجرى الباحثون تحليلا على أحد التطبيقات على وجه الخصوص يدعى Square Photo Blur، ووجدوا أن سلوكه كان متناسقا مع جميع التطبيقات الضارة. فبمجرد تنزيل التطبيق، يبدأ في قصف الجهاز الخاص بالمستخدم بإعلانات عشوائية تظهر من العدم، وهي ظاهرة تعرف بتقديم إعلانات خارج السياق القانوني العام (OOC).

ومن السمات المميزة الأخرى لهذه التطبيقات أن لدى جميع مطوري البرامج المدرجين أسماء عشوائية تبدو إنجليزية مزيفة بشكل واضح، وفقا للتقرير. على سبيل المثال، كان مطور البرامج المدرج في Square Photo Blur على Google Play يسمى Thomas Mary.

مراحل عمل التطبيقات الخبيثة

لاحظ الباحثون أيضا أن التطبيقات في الحملة بشكل عام تشهد تطورا من ثلاث مراحل. في المرحلتين الأوليين، يبدو الرمز بريئا، ولكن المرحلة الثالثة هي حيث يبدأ انشاط الشنيع لعمل التطبيق.

– في المرحلة الأولى، يتم تثبيت التطبيق باستخدام Qihoo packer، وهو في حد ذاته غير مشبوه. كما أنه يستخدم تطبيق stubs الذي يستخدمه المطورون عادة كعنصر نائب لرمز لم يتم تطويره بعد أثناء اختبار الأجزاء الأخرى من الرمز.

– يؤدي ذلك إلى إعداد التطبيق للمرحلة الثانية، حيث يتم استخدامه كغلاف حول تطبيق Blur آخر ، com.appwallet.easyblur ، والذي يكون مرئيًا بعد تفريغ Square Photo Blur. هذا التطبيق لا يفعل أي شيء ضار بحيث لاحظ الباحثون أن الجهات الفاعلة في مجال التهديد ربما تستخدمه لخداع المستخدمين للاعتقاد بأنهم قاموا بتنزيل تطبيق شرعي.

– المرحلة الثالثة من تثبيت التطبيق هي المكان الذي يبدأ فيه التطبيق بالتسبب في ضرر. في هذه المرحلة، يُنشئ الرمز الضار إعلانات OOC، ويظهر في شكل حزم com.bbb.، مثل com.bbb.NewIn. بحيث تظهر الاعلانات في كل مرة يفتح فيها المستخدم الشاشة أو يبدأ شحن الهاتف أو ينتقل من خدمة البيانات الخلوية إلى WiFi والعكس صحيح.

صحيح أنه تمت إزالة التطبيقات من متجر Google Play ، ولكن سيحتاج المستخدمون إلى إزالة أي تطبيقات تم تثبيتها بالفعل بأنفسهم. وهنا تقع المسؤولية على كل شخص يشعر بأن جهازه يقوم بإظهار إعلانات عشوائية من العدم، فيقوم بالبحث عن التطبيق المسؤول عن ذلك وإزالته.

The post اكتشاف حملة تطبيقات خبيثة على غوغل بلاي.. احذروا منها appeared first on Cyber Arabs.