أكثر من 150 ملحقًا مزيفًا لموزيلا — نظام خلفي واحد ووسائل إعلام مدفوعة
ألقت وسائل الإعلام باللوم على «الدببة الروسية» في ظهور أكثر من 150 ملحقًا مزيفًا لمتصفح «موزيلا». وتُظهر النتائج التي توصلنا إليها وجود بنية تحتية نيجيرية (عنوان IP: 185.208.156.66)، ومجموعات أدوات تصيد مُعاد استخدامها، وكيف ساعدت المقالات المدفوعة في نشر هذه الأسطورة.
الرواية المضللة
قصة عن "أكثر من 150 ملحقًا مزيفًا لموزيلا" وقد تم تضخيم هذه القصة المرتبطة بـ«أثر روسي» مفترض عبر كبرى وسائل الإعلام المتخصصة في العملات المشفرة والأمن. يبدو الأمر مثيرًا، لكن تحليلنا يُظهر أن هذه الرواية مضللة — والأسوأ من ذلك، إنه يحمي الجناة الحقيقيين.
أكثر من 150 ملحقًا منخفض الجودة على نظام خلفي واحد
وكانت جميع التمديدات في هذه الحملة هي:
- غير فريد، بجودة النسخ واللصق.
- لم يختلف سوى الشعارات والأسماء.
- وكلها متصلة بـ نظام خلفي واحد.
185.208.156.66كان نطاق الخادم الخلفي هو
alladdsite[.]digital/app.php. معظم النطاقات المرتبطة بعنوان IP هذا لم تعد نشطة الآن، لكن الأرشيفات احتفظت بلقطات لها عبر Urlscan وWebArchive. إجراءاتنا لمواجهة هذه الحملة
بصفتنا مجموعة مستقلة متخصصة في جمع المعلومات الاستخباراتية حول التهديدات، ونركز على عمليات إزالة البنى التحتية المستخدمة في عمليات التصيد الاحتيالي والخداع، فإننا:
- تم تقديم التقارير مباشرةً إلى «موزيلا» للإبلاغ عن الإضافات الضارة.
- تم إحالة الأمر إلى ختم، طالبةً المساعدة المهنية لتسريع عملية الحظر.
- نُشر تقرير على موقع «Chainabuse» لتعزيز ظهور المجتمع.
- قام بإدخال ملايين العبارات الأساسية الفارغة إلى النظام الخلفي للمهاجمين لتلويث البيانات المسروقة.
لماذا لا تُعتبر هذه بنية تحتية «روسية»؟
عادةً ما يستخدم الجهات الخبيثة الناطقة باللغة الروسية ما يلي:
- الخدمات الخلفية الموزعة (Cloudflare Workers، Firebase، Amazon، روابط فريدة لكل حملة).
- التعتيم والتكرار لتجنب نقاط الفشل الفردية.
بل إن هذه الحملة أظهرت ما يلي:
- A مزود خدمات الاستضافة النيجيري.
- نطاقات مجاورة مرتبطة بعمليات احتيال مصرفية، ومحافظ عملات مشفرة مزيفة، وعمليات احتيال تتعلق بالتسليم المزيف.
- حساب على Telegram يتلقى بيانات مسروقة مرتبطة بـ شركة اتصالات نيجيرية.
مشكلة الوسائط المدفوعة
تؤدي الإعلانات المدفوعة في وسائل الإعلام إلى عواقب وخيمة:
- تم نشر مقال واحد مدفوع الأجر في إحدى وسائل الإعلام المرموقة.
- وتقوم مئات المواقع الصغيرة والمدونات وقنوات Telegram بإعادة صياغته أو ترجمته.
- وفي غضون أيام، يتحول الأمر إلى رواية مزيفة واسعة النطاق تبدو وكأنها تتمتع بالمصداقية.
مثال: أنجل درينر
نشرت جميع وسائل الإعلام الكبرى عناوين رئيسية حول "إيقاف تشغيل لعبة Angel Drainer بعد الكشف عن هوية المطورين." ولكن هل كان ذلك صحيحًا — أم مجرد إعلان مدفوع الأجر تم تكراره حتى بدا موثوقًا؟ بالنسبة للمجرمين، فإن شراء المقالات لا يكلف سوى مبلغ زهيد؛ أما بالنسبة للضحايا، فهو يغير كل شيء.
شركات الأمن السيبراني تشتري خدمات العلاقات العامة الخاصة بها
تدفع شركات الأمن السيبراني عشرات الآلاف من الدولارات مقابل نشر مقالات عنها وعن أبحاثها وتأثيرها. وهذا يثير تساؤلات جوهرية:
- لماذا يتعين على مجموعة حقيقية متخصصة في الأمن السيبراني أن تدفع مقابل التغطية؟
- هل يحاولون إخفاء آثار المخترق الحقيقي؟
- أم استغلال هوية المخترق لأغراض الابتزاز أو لتحقيق مكاسب تنافسية؟
- هل الهدف هو تعزيز الثقة — أم التلاعب بالتصورات من أجل الربح؟
دلائل السوق
هذه الممارسة ليست سرية:
- على منصات Fiverr وUpwork والأسواق المتخصصة في العلاقات العامة، يمكنك شراء «مقالات الضيوف» مباشرةً.
- يرسل مقدمو الخدمات جداول «جوجل شيتس» تحتوي على عشرات المنافذ والأسعار — بما في ذلك العلامات التجارية الشهيرة في مجال الأمن السيبراني.
- يعد البعض بما يلي: «مقابل رسوم إضافية، لن تظهر أي علامة إعلانية».
تشمل الأهداف المعلنة لشراء المقالات ما يلي:
- بناء الروابط (تحسين محركات البحث).
- حركة المرور والمبيعات.
- الوعي بالعلامة التجارية.
- إدارة السمعة (إخفاء الجوانب السلبية).
- التحقق الاجتماعي.
- قوائم المنشورات الخاصة بطلبات الحصول على التأشيرة.
تشمل التكاليف المذكورة ما يزيد عن $20,000 للحصول على فترات مقابلات مدفوعة الأجر من كبرى وسائل الإعلام المتخصصة في العملات المشفرة.
الأعمال مقابل الأكاذيب
نشر المحتوى المدفوع ليس أمراً غير قانوني — إنه عمل تجاري. لكن عندما يتجاوز ذلك الحدود إلى نشر ادعاءات كاذبة، وتضليل التحقيقات، وإخفاء الحملات الدعائية تحت ستار الحقائق، فإنه يصبح جزءًا من المشكلة.
الخلاصة
PhishDestroy هي مبادرة مستقلة في مجال الأمن السيبراني لا تتقاضى أجرًا، ولا تبيع إعلانات، ولا تحقق أرباحًا. والحقائق واضحة:
- أكثر من 150 ملحقًا من ملحقات Mozilla يتم توجيهها إلى خادم خلفي واحد على خادم استضافة نيجيري.
- تم إرسال البيانات إلى حساب نيجيري على تطبيق Telegram.
- رواية «الأثر الروسي» هي رواية ملفقة.
- وقد ساهمت التغطية الإعلامية المدفوعة في تضخيم هذا الافتراء إلى درجة جعلته يبدو وكأنه حقيقة.
- حتى شركات الأمن السيبراني نفسها تدفع مقابل الترويج لنفسها.
إخلاء المسؤولية
نحن لا نتهم أي فرد أو شركة أو وسيلة إعلامية. فجميع الحقائق مستمدة من مصادر مفتوحة ويمكن التحقق منها من خلال الأرشيفات العامة والماسحات الضوئية والتقارير. والسؤال الحقيقي هو: لماذا يتم التحكم في مثل هذه الروايات وتضخيمها؟ من المستفيد عندما تنشر شركة أمنية مجهولة «تحقيقًا ضخمًا» غير دقيق يُصرف الانتباه عن الجهات الفاعلة الحقيقية؟



