يتم استهداف المستخدمين الذين يبحثون عن برامج شائعة من خلال حملة إعلانات خبيثة جديدة تسيء استخدام برنامج إعلانات Google لخدمة المتغيرات المكونة من حصان طروادة التي تنشر برامج ضارة. مثل Raccoon Stealer و Vidar. تستهدف حملة Malvertising الجديدة
يستفيد النشاط من مواقع الويب التي تبدو ذات مصداقية مع أسماء نطاقات مكتوبة بالخطأ والتي تظهر أعلى نتائج بحث Google في شكل إعلانات ضارة عن طريق اختطاف عمليات البحث عن كلمات رئيسية محددة.
الهدف النهائي لمثل هذه الهجمات هو خداع المستخدمين المطمئنين لتنزيل برامج خبيثة أو تطبيقات غير مرغوب فيها.
في إحدى الحملات التي كشفت عنها Guardio Labs. تمت ملاحظة الجهات الفاعلة في التهديد بإنشاء شبكة من المواقع الحميدة التي يتم الترويج لها على محرك البحث. والتي عند النقر عليها. تعيد توجيه الزائرين إلى صفحة تصيد تحتوي على أرشيف ZIP ذي طروادة مستضاف على Dropbox أو OneDrive.
وقال الباحث ناتي تال: “في اللحظة التي تتم فيها زيارة هذه المواقع” المخفية “من قبل الزائرين المستهدفين (أولئك الذين ينقرون بالفعل على نتيجة البحث التي تم الترويج لها). يقوم الخادم على الفور بإعادة توجيههم إلى الموقع المارق ومن هناك إلى الحمولة الخبيثة”.
من بين البرامج التي تم انتحال الهوية منها AnyDesk و Dashlane و Grammarly و Malwarebytes و Microsoft Visual Studio و MSI Afterburner و Slack و Zoom وغيرها.
تعزو Guardio Labs. التي أطلقت على حملة MasquerAds. جزءًا كبيرًا من النشاط إلى ممثل تهديد يتتبعه تحت اسم Vermux. مشيرة إلى أن الخصم “يسيء استخدام قائمة واسعة من العلامات التجارية ويستمر في التطور”.
بعض الدوال المستهدفه:
استهدفت عملية Vermux بشكل أساسي المستخدمين في كندا والولايات المتحدة. باستخدام مواقع masquerAds المصممة للبحث عن AnyDesk و MSI Afterburner لتكاثر عمال المناجم المشفرة وسرقة معلومات Vidar.
يمثل التطوير استمرار استخدام المجالات المطبعية التي تحاكي البرامج المشروعة لجذب المستخدمين إلى تثبيت تطبيقات Android و Windows المارقة.
إنها أيضًا ليست المرة الأولى التي يتم فيها الاستفادة من منصة إعلانات Google للتخلص من البرامج الضارة. كشفت Microsoft الشهر الماضي عن حملة هجومية استفادت من خدمة الإعلان لنشر BATLOADER. والتي تُستخدم بعد ذلك لإسقاط Royal ransomware.
بصرف النظر عن BATLOADER. استخدمت الجهات الخبيثة أيضًا تقنيات الإعلان الخبيث لتوزيع البرامج الضارة IcedID عبر صفحات الويب المستنسخة لتطبيقات معروفة مثل Adobe و Brave و Discord و LibreOffice و Mozilla Thunderbird و TeamViewer.
قالت Trend Micro الأسبوع الماضي: “IcedID هي عائلة برامج ضارة جديرة بالملاحظة قادرة على توصيل حمولات أخرى. بما في ذلك Cobalt Strike والبرامج الضارة الأخرى”. “يتيح IcedID للمهاجمين إجراء متابعة فعالة للغاية من خلال الهجمات التي تؤدي إلى اختراق النظام بالكامل. مثل سرقة البيانات وفدية الفدية المعطلة.” تستهدف حملة Malvertising الجديدة
تأتي النتائج أيضًا في الوقت الذي حذر فيه مكتب التحقيقات الفيدرالي الأمريكي (FBI) من أن “مجرمي الإنترنت يستخدمون خدمات إعلانات محركات البحث لانتحال صفة العلامات التجارية وتوجيه المستخدمين إلى المواقع الضارة التي تستضيف برامج الفدية وتسرق بيانات اعتماد تسجيل الدخول والمعلومات المالية الأخرى.”