أصبحت شركة Google ضحية لمنصتها الإعلانية الخاصة، مما يسمح للجهات الفاعلة في التهديد بإنشاء إعلانات Google Authenticator المزيفة التي تعمل على دفع برامج DeerStealer الخبيثة لسرقة المعلومات.
على مدى سنوات، استهدفت حملات الإعلانات الضارة منصة بحث Google، حيث يضع الجهات الفاعلة المهددة إعلانات لانتحال هوية مواقع برامج معروفة تقوم بتثبيت برامج ضارة على أجهزة الزوار.
ولجعل الأمور أسوأ، تمكن الجناة من إنشاء إعلانات بحث Google تعرض نطاقات شرعية، مما يضيف شعوراً بالثقة إلى الإعلان.
في حملة إعلانية خبيثة جديدة تم اكتشافها بواسطة مالوير بايتسقام الجهات الفاعلة في مجال التهديد بإنشاء إعلانات تعرض إعلانًا لبرنامج Google Authenticator عندما يبحث المستخدمون عن البرنامج في بحث Google.
ما يجعل الإعلان أكثر إقناعًا هو أنه يعرض “google.com” و”https://www.google.com” كعنوان URL للنقر، وهو أمر واضح أنه لا ينبغي السماح به عندما يقوم طرف ثالث بإنشاء الإعلان.
المصدر: Malwarebytes
لقد رأينا هذه الاستراتيجية الفعالة للغاية لإخفاء عناوين URL في حملات الإعلانات الضارة السابقة، بما في ذلك كي باس,متصفح آرك, موقع YouTube، و أمازونومع ذلك، لا تزال Google تفشل في اكتشاف متى يتم إنشاء هذه الإعلانات المزيفة.
وأشارت Malwarebytes إلى أن هوية المعلن يتم التحقق منها بواسطة Google، مما يظهر ضعفًا آخر في منصة الإعلان يستغله الجهات الفاعلة المهددة.
عند التواصل بشأن هذه الحملة الإعلانية الخبيثة، أخبرت Google موقع BleepingComputer أنها حظرت المعلن المزيف الذي أبلغ عنه Malwarebytes.
عندما سُئلت جوجل كيف يمكن لمرتكبي التهديد إزالة الإعلانات التي تنتحل صفة الشركات المشروعة، قالت إن مرتكبي التهديد يتهربون من الاكتشاف من خلال إنشاء آلاف الحسابات في وقت واحد واستخدام التلاعب بالنصوص والتمويه لإظهار المراجعين والأنظمة الآلية لمواقع ويب مختلفة عما يراه الزائر العادي.
ومع ذلك، تعمل الشركة على زيادة نطاق أنظمتها الآلية ومراجعيها البشريين للمساعدة في اكتشاف هذه الحملات الضارة وإزالتها. وقد سمحت لهم هذه الجهود بإزالة 3.4 مليار إعلان وتقييد أكثر من 5.7 مليار إعلان وتعليق أكثر من 5.6 مليون حساب معلن في عام 2023.
مواقع مصادقة جوجل المزيفة
يؤدي النقر على إعلانات Google Authenticator المزيفة إلى توجيه الزائر عبر سلسلة من عمليات إعادة التوجيه إلى صفحة الوصول على “chromeweb-authenticators.com”، والتي تنتحل شخصية بوابة Google الأصلية.
شركة ANY.RUN المتخصصة في تحليل البرمجيات الخبيثة كما لاحظت هذه الحملة، مشاركة صفحات الهبوط الإضافية من هذه الحملةعلى X. تتضمن هذه المجالات ذات الأسماء المشابهة، مثل authenticcator-descktop[.]com، chromstore-authentificator[.]com، وauthentificator-gogle[.]com.
الضغط على زر “تنزيل Authenticator” على المواقع المزيفة يؤدي إلى تنزيل ملف تنفيذي موقّع باسم “Authenticator.exe”[[فايروس توتال]مستضاف على GitHub.
يُطلق على مستودع GitHub الذي يستضيف البرامج الضارة اسم “authgg”، ومالكي المستودع اسم “authe-gogle”، وكلاهما يشبهان الأسماء المرتبطة بموضوع الحملة.
المصدر: Malwarebytes
تم توقيع العينة التي تم تنزيلها من Malwarebytes بواسطة “Songyuan Meiying Electronic Products Co., Ltd.” قبل يوم واحد من التنزيل، ولكن ANY.RUN حصل في السابق على حمولة موقعة بواسطة “Reedcode Ltd.”
المصدر: Malwarebytes، ANY.RUN
يمنح التوقيع الصحيح الملف مصداقية على نظام التشغيل Windows، مما قد يؤدي إلى تجاوز حلول الأمان والسماح بتشغيله على جهاز الضحية دون تحذيرات.
عندما يتم تنفيذ عملية التنزيل، سيتم تشغيل برنامج DeerStealer الخبيث لسرقة المعلومات، والذي يسرق بيانات الاعتماد وملفات تعريف الارتباط وغيرها من المعلومات المخزنة في متصفح الويب الخاص بك.
من المستحسن للمستخدمين الذين يتطلعون إلى تنزيل البرامج تجنب النقر على النتائج المُروَّجة في بحث Google، أو استخدام أداة حظر الإعلانات، أو وضع إشارة مرجعية لعناوين URL الخاصة بمشاريع البرامج التي يستخدمونها عادةً.
قبل تنزيل ملف، تأكد من أن عنوان URL الذي تستخدمه يتوافق مع النطاق الرسمي للمشروع. كما يجب عليك دائمًا فحص الملفات التي تم تنزيلها باستخدام أداة مكافحة الفيروسات المحدثة قبل التنفيذ.