اختطاف إعلانات بحث Google و Bing لنشر البرامج الضارة

ال جوجل وشبكات إعلانات Bing يتم إساءة استخدامها لتقديمها البرمجيات الخبيثة لمجموعات مستهدفة من المستخدمين ، ادعى بحث جديد.

خبراء الأمن السيبراني من سوفوس أعلن مؤخرًا عن اكتشاف حملة برمجيات خبيثة جديدة أطلق عليها اسم النيتروجين. في الحملة ، استخدم ممثلو التهديد إعلانات Google وإعلانات Bing للإعلان عن أدوات شائعة ، مثل AnyDesk (أداة سطح مكتب بعيد) و WinSCP (عميل SFTP / FTP لنظام التشغيل Windows نظام التشغيل) ، TreeSize Free (مدير المساحة الخالية على القرص) و Cisco AnyConnect VPN.

عندما يبحث الضحية عن أي من هذه الأدوات (أو يعثر على الإعلان في أي مكان على الويب حيث يتم عرض إعلانات Google و Bing) والنقر على الإعلان ، ومع ذلك ، لا تتم إعادة توجيههم إلى مواقع الويب الرسمية التي تنتمي إلى هذه المنتجات. بدلاً من ذلك ، يتم إرسالهم إلى مواقع WordPress التي تم اختراقها (أو الصفحات المقصودة المصممة خصيصًا لغرض الحملة) حيث يُعرض عليهم تنزيل المثبتات (عادةً ملفات ISO).

تكون أدوات التثبيت مشروعة في بعض الحالات ، ولكنها مجمعة مع برامج ضارة تنتهي بتنزيل برامج ضارة مثل Cobalt Strike أو ما شابه. يتيح ذلك للمهاجمين الوصول إلى نقطة النهاية المستهدفة ويسمح لهم بتثبيت برامج ضارة من المرحلة الثانية ، والتي يمكن أن تكون تقريبًا أي شيء من مخترعي المعلومات ، إلى برامج الفدية.

يعتقد الباحثون أن المهاجمين لا يتطلعون إلى الوصول إلى أجهزة الكمبيوتر التي تنتمي إلى أي مجموعة أو فرد معين – إنهم فقط يلقيون بشبكة واسعة ويرون من يتم القبض عليهم فيها. ويعتقدون أيضًا أنه من المحتمل جدًا أن يقوم المهاجمون بانتحال شخصية برامج أخرى في المستقبل أيضًا. اسم المجموعة التي تقف وراء الهجوم غير معروف في الوقت الحالي.

التحليل: ما سبب أهميته؟

هذه ليست الأولى ، وعلى الأرجح لن تكون آخر حملة قرصنة تسيء استخدام شبكات الإعلانات المشروعة مثل إعلانات Google و Bing Ads لتقديم برامج ضارة إلى ضحاياها. في وقت سابق من هذا العام ، حذر باحثون من SecureWorks من حملة تسمى Bumblebee استفادت من إعلانات Google لتقديم برامج ضارة. حاولت هذه الحملة إصابة الأشخاص الذين يبحثون عن برامج مثل Zoom و Cisco AnyConnect و ChatGPT و Citrix Workspace. قبل بضعة أشهر فقط ، في فبراير ، حذر باحثون من SentinelLabs من حملة إعلانات Google تُستخدم لإسقاط Formbook ، وهو أحد المخترعين المعروفين. في هذا المثال ، طارد المتسللون الأشخاص الذين يبحثون عن برنامج Blender 3D. في ديسمبر من العام الماضي ، Grammarly ، MSI تم انتحال شخصية كل من Afterburner و Slack لجعل الأشخاص يقومون بتثبيت IceID و Raccoon Stealer ، وجميعها برامج ضارة معروفة ومخترق للمعلومات.

ما يجعل هذا النوع من الهجوم شائعًا للغاية هو الثقة الهائلة التي تتمتع بها هذه المنصات الإعلانية مع عامة الناس. يُنظر إلى إعلانات Google و Bing Ads في الغالب على أنها موثوقة ، حيث يعتقد مستخدمو الإنترنت اعتقادًا راسخًا أن نظام التصفية الخاص بالشركات يعمل بشكل جيد وأنه من المستحيل الضغط على حملة ضارة من خلالها. في حين أن هذا صحيح في الغالب ، وتم حظر المئات ، إن لم يكن الآلاف ، من الحملات الخبيثة من قبل مزودي الخدمة ، إلا أن بعضها يتمكن من الضغط عليه. مع وجود ثقة بهذا المستوى العالي ، لا ينظر الكثير من الأشخاص مرتين عند النقر فوق بقعة نتيجة محرك البحث المحجوزة للإعلانات المدفوعة ولا تحقق مرة أخرى من شريط عنوان موقع الويب الذي فتحوه للتو.

نتيجة لذلك ، فإن الضحايا هم الذين ينتهي بهم الأمر إلى اختراق أجهزتهم الخاصة. في كثير من الحالات ، سيتجاهلون التحذيرات من برامج مكافحة الفيروسات الخاصة بهم ، ويرفضونها باعتبارها إيجابية كاذبة ، نظرًا لحقيقة أنهم انتقلوا إلى الصفحة عبر محرك البحث الموثوق بهم. أفضل طريقة للبقاء آمنًا هي أن تكون دائمًا في حالة تأهب ، حتى عند البحث على Google و Bing ، أو النقر فوق الإعلانات من شبكات الإعلانات المعروفة.

ماذا قال الآخرون عن الحملة؟

عندما نشرت SecureWorks تقريرها عن حملة مماثلة ، أوضح مدير الاستخبارات ، مايك ماكليلان ، في ذلك الوقت أن ما يصل إلى 1٪ من جميع الإعلانات عبر الإنترنت تحتوي على محتوى ضار. وصف ماكليلان السيناريو النموذجي الذي تتعرض خلاله الضحية للهجوم: فبدلاً من تنزيل البرامج عن طريق فريق تكنولوجيا المعلومات في الشركة ، يتولى العديد من العاملين عن بُعد السيطرة ويتجهون عبر الإنترنت بأنفسهم ، غير مدركين للمخاطر المحتملة. أوضح ماكليلان أن النتائج أظهرت أهمية وجود سياسات صارمة للشركات لتقييد الوصول إلى إعلانات الويب وإدارة الامتيازات على تنزيلات البرامج.

في كتابته عن التقرير ، الكمبيوتر قال إن الباحثين اكتشفوا أن الهدف النهائي للحملة هو توصيل ALPHV أو BlackCat. هذه إحدى سلالات برامج الفدية المعروفة المستخدمة في بعض أكبر هجمات برامج الفدية الموجودة هناك.

أضاف Sophos أنه للبقاء في أمان ، يجب أن يكون المستخدمون دائمًا على دراية بالإعلانات المقدمة من محركات البحث واستخدام امتدادات حظر الإعلانات. بدلاً من ذلك ، يمكن للمستخدمين تشغيل الإعدادات الافتراضية بتنسيق المتصفحات مع إمكانيات مدمجة لحظر الإعلانات. وأضافوا: “عند اختيار مانع الإعلانات ، نوصي بالاشتراك في تلك التي تسمح لك بمنع” الإعلانات غير المتطفلة “، وبالتالي تقييد الإعلانات التي تنشرها محركات البحث على مواقعها الخاصة”. أخيرًا ، يجب على المستخدمين التفكير في تقييد القدرة على تحميل أنظمة ملفات افتراضية عبر كائنات نهج المجموعة ، وأن يكونوا على دراية بتنزيل امتدادات الملفات “غير الطبيعية”.

تعمق

إذا كنت تريد معرفة المزيد ، فابدأ بالاطلاع على دليلنا الخاص بـ أفضل حماية لنقطة النهاية، إلى جانب أفضل جدران الحماية. أيضًا ، يمكنك الاطلاع على دليلنا المتعمق حول أفضل خدمات التسويق عبر الإنترنت في الخارج.

سيد هو صحفي مستقل محنك مقيم في سراييفو ، البوسنة والهرسك. يكتب عن تكنولوجيا المعلومات (السحابة ، إنترنت الأشياء ، 5G ، VPN) والأمن السيبراني (برامج الفدية ، انتهاكات البيانات ، القوانين واللوائح). في حياته المهنية ، التي امتدت لأكثر من عقد من الزمان ، كتب للعديد من وسائل الإعلام ، بما في ذلك قناة الجزيرة بلقان. كما أنه حاصل على عدة وحدات حول كتابة المحتوى لممثل الاتصالات.