كانت حملة إعلانات Google الإعلانية الخبيثة الجديدة، التي تزامنت مع إطلاق متصفح الويب Arc لنظام التشغيل Windows، تخدع الأشخاص لتنزيل مثبتات طروادة التي تصيبهم بحمولات البرامج الضارة.
متصفح Arc هو متصفح ويب جديد يتميز بتصميم واجهة مستخدم مبتكر يميزه عن المتصفحات التقليدية.
تم إطلاقه في يوليو 2023 لنظام التشغيل macOS وبعد تلقي مراجعات رائعة من المنشورات التقنية والمستخدمين، كان إطلاقه مؤخرًا على Windows متوقعًا للغاية.
مجرمو الإنترنت يستهدفون إطلاق Arc for Windows
وفقا لتقرير من Malwarebytes، يستعد مجرمو الإنترنت لإطلاق المنتج، ويقومون بإعداد إعلانات ضارة على بحث Google لجذب المستخدمين الذين يتطلعون إلى تنزيل متصفح الويب الجديد.
تواجه منصة إعلانات Google مشكلة كبيرة تسمح للجهات الفاعلة في مجال التهديد بإخراج إعلانات تعرض عناوين URL شرعية، والتي تم إساءة استخدامها لاستهدافهاأمازون,سوق الحيتان,ويبيكسومنصة الفيديو الخاصة بشركة Google،موقع YouTube.
عثرت شركة Malwarebytes على نتائج مروّجة لمصطلحات البحث “arc installer” و”arc browser windows” التي تعرض عنوان URL الصحيح لـ Arc.
المصدر: البرامج الضارة
ومع ذلك، بعد النقر على الإعلان، تتم إعادة توجيه الباحثين إلى النطاقات التي تحتوي على أخطاء مطبعية والتي تشبه موقع الويب الأصلي بشكل مرئي.
المصدر: البرامج الضارة
إذا تم النقر على زر “تنزيل”، فسيتم استرداد ملف التثبيت المصاب بفيروس طروادة من منصة استضافة MEGA، والذي يقوم بتنزيل حمولة ضارة إضافية تسمى “bootstrap.exe” من مصدر خارجي.
المصدر: البرامج الضارة
يتم إساءة استخدام واجهة برمجة تطبيقات MEGA في عمليات القيادة والتحكم (C2)، وإرسال واستقبال التعليمات والبيانات التشغيلية.
المصدر: البرامج الضارة
يقوم ملف التثبيت بإحضار ملف PNG يحتوي على تعليمات برمجية ضارة تقوم بتجميع وإسقاط الحمولة النهائية، ‘JRWeb.exe’، على قرص الضحية.
لاحظت Malwarebytes أيضًا وجود سلسلة عدوى منفصلة تتضمن المثبت باستخدام Python القابل للتنفيذ لإدخال التعليمات البرمجية في msbuild.exe، والذي يستعلم عن موقع خارجي لاسترداد الأوامر للتنفيذ.
ويشير المحللون إلى أن الحمولة النهائية في هذه الهجمات هي سرقة المعلومات، على الرغم من أن هذا لم يتم تحديده بعد.
نظرًا لتثبيت متصفح Arc كما هو متوقع على جهاز الضحية وتشغيل الملفات الضارة خلسة في الخلفية، فمن غير المرجح أن يدرك الضحية أنه أصبح الآن مصابًا ببرامج ضارة.
إن استغلال الجهات التهديدية للضجة المحيطة بإطلاق البرامج/الألعاب الجديدة ليس بالأمر الجديد، ولكنه يظل وسيلة فعالة لتوزيع البرامج الضارة.
يجب على المستخدمين الذين يتطلعون إلى تنزيل البرامج تخطي جميع النتائج التي يتم الترويج لها على بحث Google، واستخدام أدوات حظر الإعلانات التي تخفي تلك النتائج، ووضع إشارة مرجعية على مواقع المشاريع الرسمية لاستخدامها في المستقبل.
بالإضافة إلى ذلك، تحقق دائمًا من صحة النطاقات التي أنت على وشك تنزيل أدوات التثبيت منها، وقم دائمًا بفحص الملفات التي تم تنزيلها باستخدام أداة AV محدثة قبل تنفيذها.