الانتقال إلى المحتوى الرئيسي
التحقيق في الملحقات المزيفة لموزيلا
تحقيق • مدة القراءة: 6—8 دقائق

أكثر من 150 ملحقًا مزيفًا لموزيلا — نظام خلفي واحد ووسائل إعلام مدفوعة

ألقت وسائل الإعلام باللوم على «الدببة الروسية» في ظهور أكثر من 150 ملحقًا مزيفًا لمتصفح «موزيلا». وتُظهر النتائج التي توصلنا إليها وجود بنية تحتية نيجيرية (عنوان IP: 185.208.156.66)، ومجموعات أدوات تصيد مُعاد استخدامها، وكيف ساعدت المقالات المدفوعة في نشر هذه الأسطورة.

نُشر في الأصل في متوسط — PhishDestroy

الرواية المضللة

قصة عن "أكثر من 150 ملحقًا مزيفًا لموزيلا" وقد تم تضخيم هذه القصة المرتبطة بـ«أثر روسي» مفترض عبر كبرى وسائل الإعلام المتخصصة في العملات المشفرة والأمن. يبدو الأمر مثيرًا، لكن تحليلنا يُظهر أن هذه الرواية مضللة — والأسوأ من ذلك، إنه يحمي الجناة الحقيقيين.

أكثر من 150 ملحقًا منخفض الجودة على نظام خلفي واحد

وكانت جميع التمديدات في هذه الحملة هي:

  • غير فريد، بجودة النسخ واللصق.
  • لم يختلف سوى الشعارات والأسماء.
  • وكلها متصلة بـ نظام خلفي واحد.
عنوان IP للخادم الخلفي: 185.208.156.66
كان نطاق الخادم الخلفي هو alladdsite[.]digital/app.php. معظم النطاقات المرتبطة بعنوان IP هذا لم تعد نشطة الآن، لكن الأرشيفات احتفظت بلقطات لها عبر Urlscan وWebArchive.

إجراءاتنا لمواجهة هذه الحملة

بصفتنا مجموعة مستقلة متخصصة في جمع المعلومات الاستخباراتية حول التهديدات، ونركز على عمليات إزالة البنى التحتية المستخدمة في عمليات التصيد الاحتيالي والخداع، فإننا:

  • تم تقديم التقارير مباشرةً إلى «موزيلا» للإبلاغ عن الإضافات الضارة.
  • تم إحالة الأمر إلى ختم، طالبةً المساعدة المهنية لتسريع عملية الحظر.
  • نُشر تقرير على موقع «Chainabuse» لتعزيز ظهور المجتمع.
  • قام بإدخال ملايين العبارات الأساسية الفارغة إلى النظام الخلفي للمهاجمين لتلويث البيانات المسروقة.

لماذا لا تُعتبر هذه بنية تحتية «روسية»؟

عادةً ما يستخدم الجهات الخبيثة الناطقة باللغة الروسية ما يلي:

  • الخدمات الخلفية الموزعة (Cloudflare Workers، Firebase، Amazon، روابط فريدة لكل حملة).
  • التعتيم والتكرار لتجنب نقاط الفشل الفردية.

بل إن هذه الحملة أظهرت ما يلي:

  • A مزود خدمات الاستضافة النيجيري.
  • نطاقات مجاورة مرتبطة بعمليات احتيال مصرفية، ومحافظ عملات مشفرة مزيفة، وعمليات احتيال تتعلق بالتسليم المزيف.
  • حساب على Telegram يتلقى بيانات مسروقة مرتبطة بـ شركة اتصالات نيجيرية.
"تقوم المجموعات الروسية ببناء بنى تحتية متطورة. أما هذه البنية التحتية فكانت رخيصة ومركزية وبسيطة — وهي بالضبط ما رأيناه من قبل على الخوادم النيجيرية."

مشكلة الوسائط المدفوعة

تؤدي الإعلانات المدفوعة في وسائل الإعلام إلى عواقب وخيمة:

  1. تم نشر مقال واحد مدفوع الأجر في إحدى وسائل الإعلام المرموقة.
  2. وتقوم مئات المواقع الصغيرة والمدونات وقنوات Telegram بإعادة صياغته أو ترجمته.
  3. وفي غضون أيام، يتحول الأمر إلى رواية مزيفة واسعة النطاق تبدو وكأنها تتمتع بالمصداقية.
"ترى الضحايا 'الأثر الروسي'، وتعتقد أن القضية قد أُغلقت، فتتوقف عن الإبلاغ إلى السلطات. ويبقى المجرمون الحقيقيون دون عقاب."

مثال: أنجل درينر

نشرت جميع وسائل الإعلام الكبرى عناوين رئيسية حول "إيقاف تشغيل لعبة Angel Drainer بعد الكشف عن هوية المطورين." ولكن هل كان ذلك صحيحًا — أم مجرد إعلان مدفوع الأجر تم تكراره حتى بدا موثوقًا؟ بالنسبة للمجرمين، فإن شراء المقالات لا يكلف سوى مبلغ زهيد؛ أما بالنسبة للضحايا، فهو يغير كل شيء.

شركات الأمن السيبراني تشتري خدمات العلاقات العامة الخاصة بها

تدفع شركات الأمن السيبراني عشرات الآلاف من الدولارات مقابل نشر مقالات عنها وعن أبحاثها وتأثيرها. وهذا يثير تساؤلات جوهرية:

  • لماذا يتعين على مجموعة حقيقية متخصصة في الأمن السيبراني أن تدفع مقابل التغطية؟
  • هل يحاولون إخفاء آثار المخترق الحقيقي؟
  • أم استغلال هوية المخترق لأغراض الابتزاز أو لتحقيق مكاسب تنافسية؟
  • هل الهدف هو تعزيز الثقة — أم التلاعب بالتصورات من أجل الربح؟
"إذا تحولت الأمن السيبراني إلى لعبة علاقات عامة أخرى، حيث تتحدد الحقائق بناءً على من يدفع أكثر، فإن الثقة في هذا المجال ستنهار."

دلائل السوق

هذه الممارسة ليست سرية:

  • على منصات Fiverr وUpwork والأسواق المتخصصة في العلاقات العامة، يمكنك شراء «مقالات الضيوف» مباشرةً.
  • يرسل مقدمو الخدمات جداول «جوجل شيتس» تحتوي على عشرات المنافذ والأسعار — بما في ذلك العلامات التجارية الشهيرة في مجال الأمن السيبراني.
  • يعد البعض بما يلي: «مقابل رسوم إضافية، لن تظهر أي علامة إعلانية».

تشمل الأهداف المعلنة لشراء المقالات ما يلي:

  • بناء الروابط (تحسين محركات البحث).
  • حركة المرور والمبيعات.
  • الوعي بالعلامة التجارية.
  • إدارة السمعة (إخفاء الجوانب السلبية).
  • التحقق الاجتماعي.
  • قوائم المنشورات الخاصة بطلبات الحصول على التأشيرة.

تشمل التكاليف المذكورة ما يزيد عن $20,000 للحصول على فترات مقابلات مدفوعة الأجر من كبرى وسائل الإعلام المتخصصة في العملات المشفرة.

"هذا ليس صحافة. إنه سوق — تُباع فيه المصداقية وتُشترى."

الأعمال مقابل الأكاذيب

نشر المحتوى المدفوع ليس أمراً غير قانوني — إنه عمل تجاري. لكن عندما يتجاوز ذلك الحدود إلى نشر ادعاءات كاذبة، وتضليل التحقيقات، وإخفاء الحملات الدعائية تحت ستار الحقائق، فإنه يصبح جزءًا من المشكلة.

الخلاصة

PhishDestroy هي مبادرة مستقلة في مجال الأمن السيبراني لا تتقاضى أجرًا، ولا تبيع إعلانات، ولا تحقق أرباحًا. والحقائق واضحة:

  • أكثر من 150 ملحقًا من ملحقات Mozilla يتم توجيهها إلى خادم خلفي واحد على خادم استضافة نيجيري.
  • تم إرسال البيانات إلى حساب نيجيري على تطبيق Telegram.
  • رواية «الأثر الروسي» هي رواية ملفقة.
  • وقد ساهمت التغطية الإعلامية المدفوعة في تضخيم هذا الافتراء إلى درجة جعلته يبدو وكأنه حقيقة.
  • حتى شركات الأمن السيبراني نفسها تدفع مقابل الترويج لنفسها.
"بيع الإعلانات هو عمل تجاري. أما بيع الأكاذيب على أنها حقائق، فهو حماية للمجرمين. وعندما تصل الأمور إلى حد أن حتى قطاع الأمن السيبراني يروج لروايات معينة، فإن الضحايا — والعدالة — هم الخاسرون."

إخلاء المسؤولية

نحن لا نتهم أي فرد أو شركة أو وسيلة إعلامية. فجميع الحقائق مستمدة من مصادر مفتوحة ويمكن التحقق منها من خلال الأرشيفات العامة والماسحات الضوئية والتقارير. والسؤال الحقيقي هو: لماذا يتم التحكم في مثل هذه الروايات وتضخيمها؟ من المستفيد عندما تنشر شركة أمنية مجهولة «تحقيقًا ضخمًا» غير دقيق يُصرف الانتباه عن الجهات الفاعلة الحقيقية؟

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
التحقيق
Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
برنامج «BlockBlasters» الخبيث على منصة Steam: الكشف عن إهمال المنصة
التحقيق
برنامج «BlockBlasters» الخبيث على منصة Steam: الكشف عن إهمال المنصة
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →