دبي (الاتحاد) أجرى باحثو كاسبرسكي دراسة للأخطار التي تنطوي عليها ملحقات متصفحات الويب (Browser Extensions). وشمل التحليل أنشطة مجرمي الإنترنت الذين يخفون تهديدات رقمية خطرة تحت ستار الوظائف الإضافية لتلك الملحقات. وحسب الدراسة، يمكن للتهديدات الكامنة في ملحقات المتصفحات إدراج الإعلانات على أجهزة المستخدمين، وجمع البيانات منها حول سجلات التصفح وحتى البحث عن بيانات اعتماد تسجيل الدخول إلى مختلف الحسابات الخاصة، ما يجعلها من أكثر الأدوات المرغوب بها عند مجرمي الإنترنت، وذلك من خلال تقليد تطبيقات شائعة مثل Google Translator أو ملحقات ذات وظائف مفيدة مثل PDF Converter أو Video Downloader.

وتمثّل التهديد الأبرز الذي انتشر تحت ستار ملحقات المتصفحات في برمجيات الإعلانات، التي تُعدّ برمجيات غير مرغوب فيها مُصمّمة لإظهار الإعلانات على الشاشة.

وعادةً ما تستند هذه الإعلانات إلى سجل التصفح لجذب اهتمام المستخدمين عبر تضمين لافتات إعلانية في صفحات الويب أو توجيه تلك الصفحات إلى صفحات تابعة للقائمين خلف هذه الإعلانات، ما يمكّنهم من كسب المال. ولاحظ خبراء كاسبرسكي أن أكثر من 26,000 مستخدم واجهوا بين يناير 2020 ويونيو 2022، برمجيات إعلانية مختبئة في ملحقات المتصفحات، أي أن نحو 81% من جميع المستخدمين المتأثرين قد واجهوا هذا التهديد.

يمكن برمجيات الإعلانات تتبع كل ما يبحث عنه المستخدم ثم الترويج لمنتجات متعلقة بالبحث عبر إعلانات تابعة على محرك البحث. وعُثر على إضافات خبيثة وغير مرغوب فيها يجري توزيعها من خلال الأسواق الرسمية. وكانت "جوجل" في عام 2020 أزالت 106 ملحقات خبيثة من متجر الملحقات وتطبيقات الويب الخاص بمتصفحها Chrome.

واستُخدمت الملحقات المُزالة، والتي جرى تنزيلها نحو 32 مليون مرة بالمجمل، في سرقة بيانات المستخدمين الحساسة، كملفات تعريف الارتباط وكلمات المرور، بل إن بعضها كان يصوّر لقطات لشاشات المستخدمين، ما عرض بيانات الملايين منهم للخطر. لكن حدوث هذا الأمر لا يتكرّر كثيرًا، فالطريقة الرئيسة لتوزيع الملحقات الإضافية الخبيثة تتمثل في موارد الجهات الخارجية.

وكانت إحدى عائلات التهديدات التي حللها باحثو كاسبرسكي وأوردوها في دراستهم، والتي يطلق عليها اسم FB Stealer، انتشرت فقط من خلال مواقع مشبوهة. وتُعتبر FB Stealer واحدة من أخطر عائلات التهديدات لأنها قادرة على سرقة بيانات اعتماد دخول المستخدمين من منصة "فيس بوك"، عدا عن قدرتها على تبديل محرك البحث التقليدي وتوجيه المستخدمين إلى صفحات تابعة.

وعندما حاول المستخدمون أن ينزلوا من مصادر خارجية، مثل الموقع SolarWinds، أداة تثبيت برمجيات مخترقة، مثل Broadband Engineers، تلقوا تروجان NullMixer الخطير، الذي قام بتثبيت FB Stealer ذاتيًا على الجهاز المصاب. وقد بدا الأمر طبيعيًا للمستخدمين، لأنه امتداده يحاكي امتداد التطبيق المألوف Google Translate.