تؤدي الإعلانات الضارة التي تستضيفها Google إلى موقع Keepass مزيف يبدو حقيقيًا

الرؤية لا تصدق —

معلن معتمد من Google + عنوان URL ذو مظهر شرعي + شهادة TLS صالحة=تشابه مقنع.

تم اكتشاف أن شركة Google تستضيف إعلانًا ضارًا مقنعًا للغاية، مما يجعل هناك فرصة جيدة لخداع بعض المستخدمين الأكثر ذكاءً في مجال الأمان الذين واجهوه.

بالنظر إلى الإعلان، الذي يتنكر في صورة عرض ترويجي لمدير كلمات المرور مفتوح المصدر Keepass، لا توجد طريقة لمعرفة أنه مزيف. إنه موجود على Google، بعد كل شيء، والذي يدعي أنه يقوم بفحص الإعلانات التي يحملها. لجعل الحيلة أكثر إقناعًا، يؤدي النقر عليها إلى ķeepass[.]info، والتي، عند عرضها في شريط العناوين، تبدو وكأنها موقع Keepass الحقيقي.

ومع ذلك، فإن إلقاء نظرة فاحصة على الرابط يظهر أن الموقع كذلك لا الحقيقي. في الواقع، ķeepass[.]المعلومات – على الأقل عندما تظهر في شريط العناوين – هي مجرد طريقة مشفرة للإشارة إلى xn--eepass-vbb[.]info، والتي يبدو أنها تدفع عائلة من البرامج الضارة التي يتم تتبعها باسم FakeBat. يؤدي دمج الإعلان على Google مع موقع ويب له عنوان URL متطابق تقريبًا إلى إنشاء عاصفة شبه مثالية من الخداع.

وكتب جيروم سيجورا، رئيس قسم استخبارات التهديدات في شركة Malwarebytes الأمنية، في مقال: “يتم خداع المستخدمين أولاً عبر إعلان Google الذي يبدو مشروعًا تمامًا، ثم مرة أخرى عبر نطاق مشابه”. مشاركة يوم الاربعاء التي كشفت عملية الاحتيال.

تظهر المعلومات الواردة من مركز شفافية الإعلانات في Google أن الإعلانات تم عرضها منذ يوم السبت وآخر مرة ظهرت يوم الأربعاء. تم دفع ثمن الإعلانات من قبل شركة تدعى Digital Eagle، والتي تقول صفحة الشفافية إنها معلن تم التحقق من هويته بواسطة Google.

لم يرد ممثلو Google على الفور على رسالة البريد الإلكتروني التي تم إرسالها بعد ساعات العمل. في الماضي، قالت الشركة إنها تزيل على الفور الإعلانات الاحتيالية في أسرع وقت ممكن بعد الإبلاغ عنها.

خفة اليد التي سمحت للموقع المحتال xn--eepass-vbb[.]المعلومات لتظهر كـ ķeepass[.]المعلومات عبارة عن نظام ترميز يُعرف باسم com.punycode. يسمح بتمثيل أحرف Unicode في نص ASCII القياسي. بالنظر بعناية، من السهل اكتشاف الرقم الصغير الذي يشبه الفاصلة أسفل الحرف k مباشرةً. عندما يظهر هذا الرقم في شريط العناوين، فمن السهل أيضًا تفويت هذا الرقم، خاصةً عندما يكون عنوان URL مدعومًا بشهادة TLS صالحة، كما هو الحال هنا.

تتمتع عمليات الاحتيال عبر البرامج الضارة المحسّنة باستخدام Punycode بتاريخ طويل. قبل عامين، استخدم المحتالون إعلانات Google لجذب الأشخاص إلى موقع يبدو تقريبا متطابق إلى موقع Brave.com، ولكنه كان في الواقع موقعًا ضارًا آخر يدفع بإصدار مزيف وضار من المتصفح. حظيت تقنية Punycode باهتمام واسع النطاق لأول مرة في عام 2017، عندما أنشأ أحد مطوري تطبيقات الويب موقعًا لإثبات المفهوم متنكر على أنه apple.com.

لا توجد طريقة مؤكدة للكشف عن إعلانات Google الضارة أو عناوين URL المرمزة بترميز Punycode. نشر ķeepass[.]تؤدي المعلومات الموجودة في جميع المتصفحات الخمسة الرئيسية إلى الموقع المحتال. في حالة الشك، يمكن للأشخاص فتح علامة تبويب جديدة في المتصفح وكتابة عنوان URL يدويًا، ولكن هذا ليس ممكنًا دائمًا عندما تكون طويلة. هناك خيار آخر وهو فحص شهادة TLS للتأكد من أنها تنتمي إلى الموقع المعروض في شريط العناوين.