جوجل يتم استخدام الإعلانات مرة أخرى للانتشار البرمجيات الخبيثة، هذه المرة تحت ستار بوابة تنزيل Cisco Webex الرسمية.
الإعلانات ل برامج مؤتمرات الفيديو تبدو حقيقية جدًا، لكنها تعيد توجيه الضحايا فقط إلى المواقع التي تحتوي على البرامج الضارة BatLoader وDanaBot.
شركة الأمن Malwarebytes وجد أن الحملة كانت مستمرة لمدة أسبوع ويبدو أنها من عمل مهاجمين متمركزين في المكسيك. احتل الإعلان الضار المرتبة الأولى على Google بالنسبة لمصطلح البحث “Webex”.
ويبيكس سيئة
الإعلان جذاب للغاية لأنه يستخدم شعار Webex الحقيقي وعنوان URL، webex.com، كرابط. إنه يستخدم استغلالًا في قوالب التتبع التي تسمح للجهات الفاعلة في التهديد بإعادة توجيه الروابط إلى أي مكان يريدون.
على الرغم من أن Google تشترط أن ينتمي عنوان URL الذي يعرضه الإعلان إلى نفس النطاق مثل وجهة URL النهائية التي يتم نقل المستخدم إليها، فإنه يمكن استخدام نموذج التتبع لإعادة توجيه المستخدمين إلى عنوان URL مختلف.
استخدم ممثلو التهديد في هذه الحملة الرابط الضار “trixwe.page.link” في نموذج التتبع، بينما تم إدراج عنوان URL النهائي باسم “webex.com”. لذا فإن المستخدمين الذين نقروا شاهدوا الأخير، لكن تم إرسالهم إلى الأول.
علاوة على ذلك، يبدو أن الرابط السيئ يمنع الزيارات التي تأتي من الباحثين الأمنيين أو برامج الزحف. بالنسبة للمستخدمين الذين تريد الجهات الفاعلة استهدافهم بالفعل، يتم إرسالهم إلى موقع آخر حيث يتم إجراء المزيد من الفحوصات للتأكد مرة أخرى من أنهم ليسوا باحثين يستخدمون بيئة الحماية.
أخيرًا، سيتم إرسال المستخدمين الذين يريدون الإضرار بهم إلى موقع “webexadvertisingoffer[.]com” الذي ينشر البرامج الضارة، في حين ستتم إعادة توجيه البرامج الضارة التي تمت تصفيتها إلى موقع Webex الشرعي.
توجد على الصفحة المزيفة روابط تنزيل ظاهريًا لـ Webex والتي، إذا تم النقر عليها، ستؤدي إلى تثبيت BatLoader. سيؤدي ذلك بعد ذلك إلى تنفيذ برنامج DanaBot الضار، وهو حصان طروادة مصرفي من عام 2018 يمكنه سرقة كلمات المرور والتقاط لقطات شاشة وتحميل وحدات برامج الفدية وإخفاء حركة مرور C2 السيئة واستخدام HVNC لمنح الوصول عن بُعد.
من أفضل الممارسات دائمًا عند تنزيل البرامج تجاهل نتائج البحث التي يتم الترويج لها على Google والانتقال مباشرة إلى مصدر موثوق به، مثل موقع البائع نفسه. أخبرت Google منذ ذلك الحين BleepingComputer أنها “اتخذت الإجراء المناسب ضد الحسابات المرتبطة” في هذه الحالة.