قام شخص ما بانتحال صفة مطبوعة إعلامية معروفة وإساءة استخدام جوجل شبكة الإعلانات الإعلانية، كل ذلك لتقديم أداة سرقة معلومات RedLine البرمجيات الخبيثة للناس.
اكتشف تقرير جديد من Malwarebytes موقع WindowsReport مزيفًا تمت استضافته على ما يقرب من اثني عشر نطاقًا مختلفًا.
على موقع الويب، استضاف المحتالون إصدارًا طروادة من CPU-Z، وهي أداة مساعدة شائعة لنظام التشغيل Windows تساعد المستخدمين على تتبع مكونات الأجهزة المختلفة مثل معدلات ساعة وحدة المعالجة المركزية وما شابه ذلك. الأداة، في الواقع، كانت RedLine Stealer، وهو برنامج معروف لسرقة المعلومات قادر على سرقة بيانات النظام الحساسة، وكلمات المرور المخزنة، ومعلومات الدفع، وملفات تعريف الارتباط، ومعلومات محفظة العملة المشفرة، والمزيد.
حملات مماثلة متعددة
وبعد ذلك، قاموا بإنشاء إعلانات وعرضها على شبكة إعلانات Google، للترويج لهذا الإصدار الضار من CPU-Z. ويتوقع الباحثون أن استنساخ WindowsReport تم القيام به لإضافة المزيد من الشرعية والجدارة بالثقة إلى الحملة بأكملها. ولكن قبل إرسال المستخدمين إلى موقع الويب هذا، يتم سحبهم من خلال عدد من عمليات إعادة التوجيه، كل ذلك لتجنب برامج مكافحة إساءة الاستخدام من Google.
تتم إعادة توجيه بعض المستخدمين إلى صفحات حميدة، بينما تتم إعادة توجيه الآخرين – الذين هم أكثر ملاءمة لتلقي RedLine – إلى موقع الويب النهائي. لا نعرف بالضبط كيف يختار المهاجمون ضحاياهم.
ومما يزيد الطين بلة، أن برنامج التثبيت يتم توقيعه رقميًا بشهادة صالحة، مما يعني أن أدوات أمان Windows ومنتجات مكافحة الفيروسات الأخرى على الأرجح لن تضع علامة عليه على أنه ضار.
قامت Malwarebytes بتحليل البنية التحتية لممثلي التهديد لهذه الحملة وتوصلت إلى استنتاج مفاده أنها تم إنشاؤها من قبل نفس الأشخاص الذين قاموا مؤخرًا بتشغيل حملة Notepad ++. وكانت هذه الحملة، التي تم رصدها في أواخر أكتوبر، مماثلة من حيث أنها تضمنت أيضًا نسخة من موقع ويب شرعي، ومجموعة من الإعلانات الضارة التي يتم تقديمها عبر إعلانات Google.
أفضل طريقة للبقاء آمنًا هي توخي المزيد من الحذر عند البحث عن المنتجات والحلول على Google، والتحقق دائمًا جيدًا من عنوان URL في شريط العناوين قبل تنزيل أي شيء.
عبر BleepingComputer