مزيد من الإعلانات الضارة —
سارق معلومات Poseidon كامل الخدمة تم دفعه بواسطة “هوية المعلن التي تم التحقق منها بواسطة Google”.
صور جيتي
تم رصد برامج ضارة تعمل على أجهزة Mac، والتي تقوم بسرقة كلمات المرور ومحافظ العملات المشفرة وغيرها من البيانات الحساسة، يتم تداولها من خلال إعلانات Google، مما يجعلها المرة الثانية على الأقل في شهرين التي يتم فيها إساءة استخدام منصة الإعلانات المستخدمة على نطاق واسع لإصابة مستخدمي الويب.
أحدث الإعلانات، التي عثرت عليها شركة Malwarebytes الأمنية يوم الاثنين، تروج لإصدارات Mac من Arc، وهو متصفح غير تقليدي أصبح متاحًا بشكل عام لمنصة macOS يوليو الماضي. تعد القائمة المستخدمين بتجربة “أكثر هدوءًا وأكثر شخصية” تتضمن قدرًا أقل من الفوضى والتشتت، وهي رسالة تسويقية تحاكي تلك التي ترسلها شركة The Browser Company، الشركة الناشئة لشركة Arc.
عندما لا يتم التحقق منها
وفقًا لـ Malwarebytes، النقر على الإعلانات يعيد توجيه مستخدمي الويب إلى arc-download[.]com، صفحة متصفح Arc مزيفة تمامًا تبدو متطابقة تقريبًا مع واحد حقيقي.
مالوير بايتس
ويظهر التعمق أكثر في الإعلان أنه تم شراؤه من قبل كيان يُدعى Coles & Co، وهي هوية المعلن التي تدعي Google التحقق منها.
مالوير بايتس
الزائرون الذين ينقرون على زر التنزيل في arc-download[.]سيقوم com بتنزيل ملف تثبيت .dmg يشبه الملف الأصلي، باستثناء واحد: تعليمات لتشغيل الملف بالنقر بزر الماوس الأيمن واختيار فتح، بدلاً من الطريقة الأكثر مباشرة وهي النقر المزدوج على الملف. والسبب في ذلك هو تجاوز آلية أمان macOS التي تمنع تثبيت التطبيقات ما لم يتم توقيعها رقميًا بواسطة مطور قامت Apple بفحصه.
مالوير بايتس
يُظهر تحليل كود البرامج الضارة أنه بمجرد التثبيت، يرسل السارق البيانات إلى عنوان IP 79.137.192[.]4. يصادف أن العنوان يستضيف لوحة التحكم الخاصة بـ Poseidon، وهو اسم سارق يتم بيعه بشكل نشط في الأسواق الإجرامية. تسمح اللوحة للعملاء بالوصول إلى الحسابات التي يمكن الوصول إلى البيانات التي تم جمعها.
البرامج الضارة
كتب جيروم سيجورا، المحلل الرئيسي لذكاء البرمجيات الخبيثة في شركة Malwarebytes، “هناك مشهد نشط لتطوير البرمجيات الخبيثة لأجهزة Mac التي تركز على السارقين. وكما نرى في هذا المنشور، هناك العديد من العوامل المساهمة في مثل هذه المشاريع الإجرامية. يحتاج البائع إلى إقناع العملاء المحتملين بأن منتجه غني بالميزات ولا يتم اكتشافه بواسطة برامج مكافحة الفيروسات”.
تعلن شركة Poseidon عن نفسها باعتبارها أداة سرقة لنظام التشغيل macOS كاملة الخدمات تتمتع بإمكانيات تشمل “أداة التقاط الملفات، ومستخرج محفظة العملات المشفرة، وسرقة كلمات المرور من مديرين مثل Bitwarden، وKeePassXC، وأداة تجميع بيانات المتصفح”. إلى Atomic Stealer، وهو برنامج سرقة مماثل لنظام التشغيل macOS، قال Segura إن كلا التطبيقين يشتركان في الكثير من نفس كود المصدر الأساسي.
أضاف كاتب المقال، Rodrigo4، ميزة جديدة لنهب تكوينات VPN، لكنها لا تعمل حاليًا، على الأرجح لأنها لا تزال قيد التطوير. ظهر منشور المنتدى يوم الأحد، وعثرت Malwarebytes على الإعلانات الضارة بعد يوم واحد. ويأتي هذا الاكتشاف بعد شهر من Malwarebytes تم تحديدها مجموعة منفصلة من إعلانات Google تدفع بإصدار مزيف من Arc for Windows. قام المثبت في تلك الحملة بتثبيت برنامج سرقة معلومات مشتبه به لهذا النظام الأساسي.
مالوير بايتس
مثل معظم شبكات الإعلانات الكبيرة الأخرى، يقدم إعلانات Google بانتظام محتوى ضارًا لا تتم إزالته إلا بعد إخطار الشركة من قبل جهات خارجية. ولا يتحمل إعلانات Google أي مسؤولية عن أي ضرر قد ينجم عن هذه الأخطاء. وقالت الشركة في رسالة بالبريد الإلكتروني إنها تزيل الإعلانات الضارة بمجرد علمها بها وتوقف المعلن عن العمل وقد فعلت ذلك في هذه الحالة.
يجب على الأشخاص الذين يرغبون في تثبيت البرامج المعلن عنها عبر الإنترنت البحث عن موقع التنزيل الرسمي بدلاً من الاعتماد على الموقع المرتبط في الإعلان. ويجب عليهم أيضًا توخي الحذر من أي تعليمات توجه مستخدمي Mac لتثبيت التطبيقات من خلال طريقة النقر بزر الماوس الأيمن المذكورة سابقًا. يوفر منشور Malwarebytes مؤشرات على الاختراق الذي يمكن للأشخاص استخدامه لتحديد ما إذا كانوا مستهدفين أم لا.