نحوه فریب کاربران بوسیله تبلیغات مخرب گوگل
اسمارت کاور: کارشناسان امنیتی بتازگی اعلام نموده اند مهاجمان امنیتی، از نتایج تغییریافته جست وجو و تبلیغات گوگل سوءاستفاده می کنند تا کاربرانی را که قصد دانلود نرم افزارهایی مانند WinScp دارند فریب دهند، به این صورت که بجای نرم افزار موردنظر، به اشتباه بدافزار را نصب کنند.
به گزارش اسمارت کاور به نقل از ایسنا، گوگل امروزه پرکاربردترین موتور جست وجو در سطح جهان است و الان روزانه میلیاردها جست وجو در گوگل به بالای ۱۵۰ زبان در سرتاسر جهان به انجام می رسد. گوگل بیش از ۲۰ مرکز داده در سرتاسر جهان دارد که ماموریت آنها، در دسترس قرار دادن اطلاعات برای همه جهان بطور یکسان است. گفتنی ست نام مشهور جهانی "گوگل" از یک اصطلاح ریاضی برگرفته شده که در حدود سال ۱۹۲۰ به وجود آمده است.
از خدمات بهادار گوگل که دنیای فناوری را گرفتار تحول اساسی کرده است، می توان به ساخت و توسعه گوشیهای هوشمند، محبوب ترین مرورگر جهان به نام "کروم" (Chrome)، سرویس ترجمه "گوگل ترنسلیت" (Google Translate)، بزرگترین بستر به اشتراک گذاری ویدیو در جهان موسوم به "یوتیوب"، سرویس رایانامه "جی میل"، "نقشه های گوگل" و خیلی از فناوری های دیگر اشاره نمود.
در این راستا بتازگی اعلام شده است شواهد حاکی از آن بوده که مهاجمان امنیتی، از نتایج تغییریافته ی جست وجو و تبلیغات گوگل سوءاستفاده می کنند تا کاربرانی که قصد دانلود نرم افزارهایی مانند WinScp دارند را فریب دهند، به این صورت که بجای نرم افزار موردنظر، به اشتباه بدافزار را نصب کنند.
تبلیغ مخرب، کاربر را به یک وب سایت در معرض خطر وردپرس “gameeweb[.]com” هدایت می کند و در نهایت او را به یک سایت فیشینگ (سرقت سایبری) که کنترل آن بدست مهاجم است می رساند. مهاجمان از سرویس تبلیغات جست وجوی پویای گوگل (Dynamic Search Ads) که بطور خودکار تبلیغاتی را برمبنای محتوای یک سایت تولید می کند، استفاده می نمایند تا تبلیغات مخربی که قربانیان را به سایت آلوده می برند را ایجاد کنند.
گفته شده هدف نهایی این زنجیره ی حمله ی چند مرحله ای و پیچیده، فریب کاربر جهت کلیک برروی وب سایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار است.
ترافیک از وب سایت gaweeweb[.]com به وب سایت جعلی winsccp[.] net ازطریق یک سربرگ (header) ارجاع دهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل می شود. اگر ارجاع دهنده صحیح نباشد، کاربر به یک ویدئو ازپیش تهیه شده در یوتیوب هدایت می شود.
در نهایت یک فایل به شکل ("WinSCP_v.6.1.zip") دانلود می شود که با یک فایل اجرائی هم راه است و هنگام راه اندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرارداده شده است، استفاده می نماید. DLL، به نوبه خود، یک نصب کننده قانونی WinSCP را دانلود و اجرا می کند تا ظاهر فریبنده هدف مهاجم حفظ شود، در صورتیکه بطور مخفیانه اسکریپت های Python ("slv.py" و "wo15.py") را در پس زمینه اجرا می کند تا عملیات مخربی از این طریق صورت گیرد.
هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترل شده توسط مهاجم ازراه دور طراحی شده اند تا به مهاجمان اجازه دهند دستورات مخرب را روی میزبان اجرا کنند. این نخستین بار نیست که از تبلیغات جست وجوی پویای گوگل جهت توزیع بدافزار بهره برداری می شود.
اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جست وجوی PyCharm بودند با لینک هایی به یک وب سایت هک شده که یک نصب کننده مخرب را دربرداشت، هدایت می کرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد می کرد.
توصیه های امنیتی
به گفته پژوهشگران، باتوجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده می نمایند، به احتمال زیاد این اهداف، به افرادی که بدنبال نرم افزار WinSCP هستند محدود می شود.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری (ماهر) تنظیمات مسدودسازی جغرافیایی استفاده شده در سایت میزبان بدافزار می تواند نشانگر این باشد که چه کاربرانی در چه کشورها یا مناطقی قربانی این فریب شده اند. محبوبیت بدافزارهای در پوشش تبلیغات (Malvertising) میان مجرمان سایبری در چند سال قبل افزایش داشته است و کمپین های بدافزار مختلفی از این تاکتیک برای حملات در ماه های اخیر بهره برده اند.
گفتنی است گوگل مدتی پیش بروزرسانی امنیتی اضطراری جدید برای مرورگر کروم منتشر نمود که بسیار مشکل آفرین است چون هکرها یک راه برای بهره برداری از آن در حملات خود ابداع نموده اند.
مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب