تکنیک جدید استفاده گسترده هکرها از تبلیغات گوگل برای ارسال payloadهای بدافزار
اخبار داغ فناوری اطلاعات و امنیت شبکه
هکرها در استفاده از Google Ads خبره تر، فعالتر و پیچیده تر شده اند. آنها هنگام جستجوی محصولات نرمافزاری معتبر یا ابزارهای دیگر، از این پلتفرم برای انتشار بدافزار به کاربران ناآگاه سواستفاده میکنند.
به عنوان بخشی از این کمپین، نسخه جعل هویت شده محصولات زیر ساخته شده است:
Grammarly
MSI Afterburner
Slack
Dashlane
Malwarebytes
Audacity
μTorrent
OBS
Ring
AnyDesk
Libre Office
Teamviewer
Thunderbird
Brave
بدافزار ارائه شده از طریق Google Ads
عوامل تهدید، وبسایتهای رسمی این پروژههای نرمافزاری را شبیهسازی میکنند و با کلیک روی دکمه دانلود، نسخههای مخرب نرمافزار در اختیار کاربر قرار میگیرد.
این میتواند منجر به ارائه انواع بدافزارهای مختلف مانند موارد زیر شود:
Raccoon Stealer
نسخه سفارشی Vidar Stealer
لودر بدافزار IcedID
در نتیجه یک کلاهبرداری گسترده خطای نوشتاری، صدها دامنه جعل هویت پروژههای نرمافزاری، اخیراً شناسایی شدهاند.
در یک نمونه دیگر، از سارق اطلاعات RedLine که کاربران را با نرمافزارهای مخرب آلوده میکند، در درگاههای جعلی MSI Afterburner برای گسترش آلودگی استفاده میشود.
این یک قسمت از اطلاعاتی بود که ناشناس باقی مانده ود، یعنی اینکه کاربران چگونه در معرض این وب سایتها قرار میگرفتند، و این چیزی است که اکنون کارشناسان توانستند کشف کنند.
سواستفاده از تبلیغات گوگل
طبق گفته محققان امنیتی در آزمایشگاههای Guardio و Trend Micro، مشخص شده است که کمپینهای بازاریابی از طریق Google Adwords اغلب برای تبلیغ این وبسایتهای مخرب به مخاطبان گسترده تری استفاده میشوند.
تبلیغکنندگان میتوانند صفحات خود را در جستجوی گوگل از طریق گوگل ادوردز تبلیغ کنند که آنها را در بالای لیست نتایج، به عنوان تبلیغات قرار میدهد.
علاوه بر این، وب سایت رسمی یک پروژه اغلب با تبلیغاتی که در بالای صفحه ظاهر میشود، احاطه میشود.
این تبلیغ در مقابل کاربرانی که به دنبال نرمافزار قانونی در مرورگر بدون مسدودکننده تبلیغات فعال هستند ظاهر میشود؛ به طور خلاصه، این دست تبلیغات مخرب برای آنها بیشتر قابل مشاهده خواهد بود.
این مسأله معمولاً منجر به کلیک افراد روی آن میشود، زیرا به نظر میرسد بسیار شبیه به نتایج جستجوی واقعی است، بنابراین احتمال بیشتری دارد که روی آن کلیک کنند.
گوگل کمپینهایی را که حاوی صفحات لندینگ مخرب تشخیص داده شدهاند، مسدود میکند و همچنین تبلیغات مرتبط با کمپین را حذف مینماید.
بنابراین، برای دور زدن بررسیهای خودکار گوگل، عوامل تهدید باید از ترفندی در این مرحله استفاده کنند تا به اهداف خود دست یابند.
با کلیک بر روی تبلیغ، عامل تهدید میتواند قربانیان را به یک وبسایت خنثی و غیرمخرب اما نامربوط که توسط خود عوامل تهدید ایجاد شده است هدایت کند. در مرحله بعد، آنها را محترمانه و هوشمندانه به یک وب سایت مخرب که جعل هویت وب سایت پروژه اصلی است، هدایت میکند.
چندین سایت معتبر اشتراکگذاری فایل و میزبانی کد وجود دارد که payload را به فرمت ZIP یا MSI تحویل میدهند و عبارتند از:
GitHub
Dropbox
Discord CDN
با انجام این کار، مهاجم تضمین میکند که هر گونه برنامه آنتی ویروس در رایانه قربانی مانع از انجام کار و فعالیت مخربش نمیشود.
توجه به این نکته ضروری است که سایت "masquerAd" که برای گوگل و بازدیدکنندگانی که هرگز آن را نمیبینند قابل مشاهده نبود، به سمت سرور ارسال شده است.
در طول نصب نرمافزار قانونی، بدافزار به عنوان بخشی از پکیج گنجانده شد. نصب بیصدا و پنهانی بدافزار امکان دارد و کاربران آنچه را که دانلود کرده اند دریافت میکنند.
تعیین اینکه آیا نتایج جستجوی هدفمند قابل اعتماد هستند یا خیر، میتواند دشوار باشد، زیرا آنها همگی ظاهری قانونی و رسمی دارند.
فعال کردن یک مسدودکننده تبلیغات (Ad-blocker) در مرورگر وب، یکی از راههای مناسب برای مسدود کردن این کمپینها است زیرا نتایج خاصی را از جستجوی Google که برای کاربر تبلیغ میشوند، فیلتر میکند.
بهتر است URL وب سایتی که به آن مراجعه میشود، نشانهگذاری شوند تا در صورت نیاز به منبع بروزرسانی برای یک پروژه نرمافزاری خاص، بتوان مستقیماً به آن دسترسی پیدا کرد.
برچسب ها: Ad-blocker, masquerAd, Discord CDN, گوگل ادوردز, Libre Office, Ring, OBS, μTorrent, Audacity, Dashlane, MSI Afterburner, Grammarly, تبلیغات گوگل, Vidar stealer, IcedID, RedLine, Anti Virus, Dropbox, Google Adwords, Raccoon Stealer, Google Ad, Brave, Payload, Malwarebytes, AnyDesk, Thunderbird, Slack, TeamViewer, Github, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, گوگل, آنتی ویروس, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news