في خطوة تنذر بوجود مخاطر جسيمة على أمن البيانات، كشفت تقارير أمنية عن إضافة خبيثة تستهدف مستخدمي متصفح جوجل كروم وغيره من المتصفحات المعتمدة على بنية Chromium. هذه الإضافة، التي تُعرف باسم "NexShield"، تُقدم نفسها كأداة فعالة لحظر الإعلانات، لكنها في الواقع بوابة لبرمجيات خبيثة تهدد بابتلاع بيانات المستخدمين والسيطرة على أنظمتهم. إن التعامل مع هذه الإضافة يتطلب يقظة فورية وإجراءات إزالة صارمة لضمان سلامة الجهاز والمعلومات الشخصية.
الآليات المعقدة لبرنامج NexShield الخبيث
وفقاً للخبراء الأمنيين في شركة **Huntress**، تستخدم إضافة NexShield أساليب متطورة لخداع المستخدمين وتجاوز آليات الكشف الأمني. الهدف الأساسي هو الحصول على إذن لتنفيذ تعليمات برمجية ضارة دون أن يدرك المستخدم أنه يوافق على اختراق نظامه. هذه الإضافة تعمل على متصفحات مبنية على منصة **Chromium**، مما يوسع دائرة الخطر لتشمل متصفحات أخرى شائعة مثل **Microsoft Edge**.
الخطر لا يقتصر على مجرد الإعلانات المزعجة؛ بل يتمثل في التنكر المحكم. حيث صُممت وظائف NexShield بطريقة لا تثير الشكوك التقليدية المرتبطة بالبرمجيات الخبيثة. السر وراء نجاحها في الانتشار كان انتحال هوية برنامج حجب إعلانات معروف، وربط اسمها بمطورين موثوقين سابقاً، مما سهل عملية التثبيت الأولية.
مراحل الهجوم: من الإبطاء إلى السيطرة الكاملة
بمجرد تثبيت الإضافة، يبدأ المستخدم بملاحظة تدهور كبير في أداء جهاز الكمبيوتر الخاص به. يحدث هذا بسبب شن NexShield هجمات حجب خدمة (DoS) موجهة ضد متصفح الويب نفسه، مما يستهلك موارد النظام بشكل كبير ويجعل التصفح مستحيلاً عملياً. هذه المرحلة مصممة لإجبار المستخدم على إغلاق المتصفح قسراً.
عندما يفتح المستخدم المتصفح مرة أخرى، يتم تفعيل المرحلة الثانية والأكثر خطورة. تظهر رسالة تحذير زائفة تفيد بتوقف المتصفح عن العمل، وتحتوي هذه الرسالة على زر "فحص" وهمي. الضغط على هذا الزر يقود المستخدم إلى نسخ ولصق أمر تنفيذي عبر واجهة **PowerShell**. هذا الأمر هو المفتاح الذي يتيح للمخترقين الوصول إلى بيانات النظام المخزنة ونقلها إلى خوادم خارجية، بالإضافة إلى تنفيذ أوامر سيطرة أخرى عن بعد.
استراتيجية التوقيت والتخلص من التهديد
للتأكد من استمرار تأثيرها وتجنب الكشف المبكر، اعتمد مطورو NexShield على نظام مؤقتات دقيق. المؤقت الأول يعمل لمدة 60 دقيقة بعد التثبيت، وعند انتهائه يبدأ هجوم DoS. أما المؤقت الثاني، فيضمن تكرار ظهور رسائل التنبيه كل 10 دقائق بعد إعادة تشغيل البرنامج، حتى لو قام المستخدم بإغلاق التنبيه يدوياً، مما يزيد من فرصة وقوعه في فخ أمر PowerShell.
في حال كنت قد قمت بتثبيت هذه الإضافة الخبيثة، فإن مجرد إزالتها من قائمة إضافات كروم لن يكون كافياً لضمان الأمان. يجب استخدام برنامج قوي لمكافحة الفيروسات لإجراء فحص شامل وعميق للنظام، والتأكد من إزالة كافة الملفات والآثار المتبقية للبرمجية الخبيثة. إذا كنت غير واثق من قدرتك على تطهير النظام بالكامل، فمن الضروري استشارة متخصص في أمن المعلومات.
ما هي المتصفحات الأخرى التي قد تتأثر بإضافة NexShield؟
بما أن NexShield تستهدف المتصفحات المبنية على بنية Chromium، فإن هذا يشمل عدداً كبيراً من المتصفحات الشائعة الأخرى إلى جانب جوجل كروم، مثل مايكروسوفت إيدج (Microsoft Edge) وغيرها من المتصفحات التي تستخدم نفس الأساس التقني، مما يتطلب فحصاً شاملاً لجميع متصفحاتك المثبتة.
ما هو الإجراء الأول الذي يجب اتخاذه عند الشك في وجود برمجية خبيثة من هذا النوع؟
الإجراء الأول والأكثر أهمية هو إيقاف تشغيل المتصفح فوراً وعدم التفاعل مع أي نوافذ منبثقة أو أوامر تطلب منك تنفيذ أي شيء. بعد ذلك، يجب الانتقال إلى إعدادات الإضافات وإزالة NexShield على الفور، ثم المتابعة بتشغيل فحص شامل للنظام عبر برنامج حماية موثوق به.
هل يمكن الاعتماد على أدوات حظر الإعلانات الأخرى بعد اكتشاف هذا الخطر؟
نعم، يمكن الاعتماد على أدوات حظر الإعلانات المعروفة والموثوقة، خاصة تلك التي تتمتع بسمعة قوية وتحديثات منتظمة، مثل uBlock Origin أو AdBlock Plus (مع الحذر من النسخ المقلدة). لكن يجب دائماً التأكد من المصدر الرسمي للإضافة والتحقق من المطور قبل التثبيت.
لماذا استخدم المهاجمون اسم مبتكر uOrigin Lite لخداع المستخدمين؟
استخدم المهاجمون اسم المطور الأصلي لبرنامج uOrigin Lite لسببين رئيسيين: الأول هو استغلال الثقة التي يتمتع بها هذا المشروع في مجتمع المستخدمين، والثاني هو محاكاة آلية عمله لتبدو الإضافة شرعية تماماً في أعين المستخدمين الأقل خبرة، مما يقلل من احتمالية الشكوك الأولية حول وظيفتها الأساسية كبرنامج ضار.
ما هي أهمية أوامر PowerShell في هذا الهجوم تحديداً؟
أوامر PowerShell هي أدوات قوية في بيئة ويندوز تسمح بتنفيذ نصوص برمجية معقدة دون الحاجة إلى واجهة رسومية تقليدية. في هذا السياق، استخدمت لفتح قناة اتصال خلفية مع المهاجمين، مما مكنهم نظرياً من سرقة أي بيانات مخزنة أو تنفيذ أوامر إضافية للسيطرة الكاملة على النظام دون علم المستخدم.
🔎 **ختاماً،** إن قصة إضافة NexShield هي تذكير صارم بأن أدوات حظر الإعلانات، رغم أهميتها لتحسين تجربة التصفح، يمكن أن تتحول إلى أسلحة خطيرة إذا لم يتم تنزيلها من مصادر رسمية وموثوقة. اليقظة المستمرة والتحقق من سمعة المطورين هي خط الدفاع الأول ضد التهديدات المتزايدة في الفضاء الرقمي. يجب على جميع المستخدمين التحقق الآن من قائمة إضافاتهم وإزالة أي شيء مشبوه فوراً لحماية أجهزتهم وبياناتهم الحيوية.
قم بالتعليق على الموضوع