كشفت شركة "أفاست" للبرمجيات (مقرها براغ) أن مستخدمين في لبنان وفلسطين واليمن وتركيا، تعرضوا للاختراق والتجسس من قبل الشركة الإسرائيلية Candiru بعدما استخدمت ثغرة في متصفح كروم تحمل اسم "يوم الصفر".
ثغرة في "كروم" سهلت التجسس
استخدمت شركة "كانديرو" برنامج تجسس يحمل اسم DevilsTongue، ويعمل على استغلال الثغرة الموجودة في المتصفح. وصحّحت "غوغل"، مالكة "كروم"، ثغرة "يوم الصفر" في الرابع من يوليو/تموز الماضي، حينها أقرت بوقوع اختراقات، لكنها لم تقدم مزيداً من التفاصيل.
وفي تقرير جديد، كشف الباحثون في وحدة التهديدات في شركة أفاست أنهم رصدوا الثغرة وأبلغوا "غوغل" عنها بعد التحقيق في هجمات برنامج التجسس على عملائهم.
ووفقاً لـ"أفاست"، فقد شرعت "كانديرو" في استغلال الثغرة في مارس/آذار 2022، مستهدفةً المستخدمين في لبنان وتركيا واليمن وفلسطين. وتقوم العملية على اختراق موقع سيزوره الضحية، ثم استغلال الثغرة غير المعروفة في المتصفح لاستهدافه ببرامج تجسس.
تجسس بدون نقر ولا فتح رابط أو تنزيل محتوى
ويعتبر هذا الهجوم خطيراً جداً لأنه لا يتطلب أي تفاعل مع الضحية، مثل النقر على روابط أو تنزيل أي محتوى. بدلاً من ذلك، كل ما هو مطلوب منهم هو فتح الموقع في "غوغل كروم" أو أي متصفح يعتمد على نظام "كروميوم".
يمكن أن تكون المواقع المفخخة هذه إما مواقع شرعية اخترقتها الشركة بطريقة ما، أو أنشأتها وتروج لها عبر التصيد الاحتيالي أو طرق أخرى.
في إحدى الحالات، اخترق المهاجمون موقعاً إلكترونياً تستخدمه وكالة أبناء لبنانية (لم تحدد هويتها) وزرعوا مقتطفات برمجية تعيد توجيه الأهداف إلى خادم فخ.
ويوضح تقرير "أفاست": "تتضمن المعلومات التي جُمعت لغة الضحية، والمنطقة الزمنية، ومعلومات الشاشة، ونوع الجهاز، والمكونات الإضافية للمتصفح، والمرجع، وذاكرة الجهاز، ووظائف ملفات تعريف الارتباط، والمزيد".