تستخدم حملة تضليل ذكية العديد من المجالات الفرعية السحابية مثل Microsoft Azure وOVH بالإضافة إلى بحث Google للترويج لمواقع البرامج الضارة والبريد العشوائي.
يتلقى مستخدمو Android إشعار بحث Google “معلومات جديدة تتعلق بـ…” حول موضوع بحثوا عنه سابقًا، ولكن بعد ذلك يتم تقديم نتائج بحث مضللة لهم، مما يؤدي إلى توجيه الزيارات إلى مواقع الويب الاحتيالية المتخفية في صورة مقالات ترفيهية معلوماتية.
نتائج البحث الملوثة تؤدي إلى ظهور إشعار على الهاتف المحمول
لا أحد يعرف من هو وراء هذه المقولة “إذا كذبت كذبة كبيرة وواصلت تكرارها، فسيصدقها الناس في النهاية”، ولكن يبدو أنها كانت بمثابة وقود لحملة التضليل التي ظهرت مؤخرًا.
في وقت سابق من هذا الأسبوع، استقبلتني رسالة بحث من Google على هاتفي الذي يعمل بنظام Android تفيد بأن “معلومات جديدة تتعلق بهاري كونيك جونيور”أجدني أسقطالممثل الذي بحثت عنه مؤخرًا.
عند الضغط على الإشعار، رأيت ليس مرة واحدة بل عدة مواقع إلكترونية تكرر نفس الرسالة: “كشف الحقيقة وراء السكتة الدماغية التي أصيب بها هاري كونيك جونيور: رحلة من المرونة والتعافي”.
ما هو السبب وراء إرسال جوجل هذا الإشعار “معلومات جديدة متعلقة بـ” في المقام الأول؟ لقد تلوثت نتائج بحث جوجل بعشرات المجالات المستضافة على خدمات سحابية مثل Microsoft Azure blob storage وOVH والتي تعمل على إدامة هذا التضليل.
عندما تكتشف جوجل العديد من مواقع الويب التي تنشر “معلومات جديدة” تتعلق بشخصية عامة، فمن المحتمل أن تعاملها خوارزمياتها على أنها الذي – التي وإعلام المستخدمين الذين بحثوا سابقًا عن كيان ما.
ومن المفارقات أن العديد من هذه المقالات تناقش “شائعة” تتعلق بصحة المشاهير، وبالتالي تنشر هذه الشائعة ذاتها حيث لا يبدو أن أي مصدر إخباري موثوق آخر يدعي مثل هذه الادعاءات حول هاري كونيك جونيور.
تواصل موقع BleepingComputer مع ممثلي Harry Connick, Jr. في محاولة لتنبيههم إلى حملة التضليل هذه.
كما اكتشفنا أن هذه الحملة لم تقتصر على شخصية واحدة بل استهدفت العديد من الشخصيات العامة، بما في ذلك بيل باكستون، وكارول بورنيت، وإمينيم، وتوم هاردي، وراندي ترافيس، وسندباد، وكيم بورتر، وميجان فوكس.
المواقع تعيد توجيه الزوار إلى البرامج الضارة والرسائل غير المرغوب فيها
تزعم هذه المقالات التي لا أساس لها من الصحة أن المشاهير المذكورين أصيبوا مؤخرًا بـ “سكتة دماغية” أو تستنتج أنه لا يوجد تأكيد “رسمي” بشأن معاناة الشخصية المذكورة من مثل هذه الظروف الصحية.
وهذا يعني أنه يتم عرض هذه المقالات مع تشغيل أداة حظر الإعلانات.
بخلاف ذلك، فإن الغرض الوحيد من هذه الصفحات الإلكترونية هو إعادة توجيه الزوار عبر سلسلة من العقبات إلى خصائص الإنترنت التي تدفع في النهاية إلى البرامج الضارة والبريد العشوائي والبرامج المزيفة.
على سبيل المثال، الرابط الموجود على العنوان التالي، المستضاف على موقع Microsoft *.blob.core.windows.net
hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/harry-connick-junior-stroke.html
شوهد وهو يعيد التوجيه إلى موقع مشكوك فيه مانع إعلانات الفيديو[.]محترف المجال يطلب من المستخدمين تثبيت ملحق Chrome “Eclipse Ad Blocker”:
لقد لاحظنا إعلانات مشابهة يتم تشغيلها على نطاقات أخرى، حيث يقوم البعض منها بإرسال تنبيهات مزيفة عن اكتشاف فيروسات مثل “Norton” و”McAfee”.
لقد لاحظنا أن العديد من هذه المجالات تحتوي على نصوص برمجية لخدمة الإعلانات مثل hxxps://moremashup[.]com/js/ads.js
قد يذهب البعض إلى خطوة أبعد من ذلك ويحقن نصوصًا مشوشة مكونة من سطر واحد على الصفحة، على سبيل المثال منhxxps://satisfactorymetalrub[.]com/8438b16ee31e72c66f3abda855a57488/invoke.js
فيما يلي قائمة ببعض عناوين URL المرتبطة بحملة التضليل هذه التي حددها موقع BleepingComputer:
hxxps://cancerresearch.blob.core.windows[.]net/breakthrough/carol-burnett-stroke.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork2/bill-paxton-wife-louise-newbury-death.htmlhxxps://applebulletin.blob.core.windows[.]net/bergenews5/is-randy-travis-dead.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork15/tarrare-death-cause.htmlhxxps://newscentralstation.blob.core.windows[.]net/channel10/steve-harvey-accident.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork13/who-is-tom-hardy-married-to.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork15/mikayla-campinos-leakd.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork5/sinbads-children.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork12/was-kim-porter-mixed.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork12/donnie-and-jenny-divorce-2024.htmlhxxps://sopnews.blob.core.windows[.]net/jazz8/michael-c-hall-height.htmlhxxps://celebradar.blob.core.windows[.]net/celebnetwork13/did-chris-change-his-name.htmlhxxps://flashnews2.s3.uk.io.cloud.ovh[.]net/harry-connick-jr-stroke.htmlhxxps://ashghali[.]com/automotive8/did-harry-connick-jr-have-a-stroke.htmlhxxps://globalinternationalnews.blob.core.windows[.]net/globalinternationalnews3/harry-connick-jr-stroke.htmlhxxps://interestnews.blob.core.windows[.]net/topictribune3/harry-connick-jr-stroke.html
يجب على القراء الامتناع عن زيارة نتائج البحث التي تشير إلى هياكل عناوين URL المذكورة أعلاه، خاصة عندما يبدو أنها تحتوي على ادعاءات جريئة وغير مؤكدة حول شخصيات وكيانات عامة لم يتم ذكرها من قبل مصادر موثوقة.