کمیته رکن چهارم – تحقیقات جدید در زمینه امنیت سایبری نشان داده است که بهتازگی، بسیاری از مهاجمان از طریق گوگل کاربران را گمراه میکنند.
شواهد حاکی از آن است که مهاجمان امنیتی، از نتایج تغییریافتهی جستجو و تبلیغات گوگل سوءاستفاده میکنند تا کاربرانی که قصد دانلود نرمافزارهایی مانند WinScp دارند را فریب دهند به این صورت که بهجای نرمافزار موردنظر، به اشتباه بدافزار را نصب کنند.
تبلیغ مخرب، کاربر را به یک وبسایت در معرض خطر وردپرس gameeweb.com هدایت میکند و در نهایت او را به یک سایت فیشینگ (سرقت سایبری) که کنترل آن بدست مهاجم است میرساند. مهاجمان از سرویس تبلیغات جستجوی پویای گوگل (Dynamic Search Ads) که به طور خودکار تبلیغاتی را بر اساس محتوای یک سایت تولید می کند، استفاده میکنند تا تبلیغات مخربی که قربانیان را به سایت آلوده می برند را ایجاد کنند. هدف نهایی این زنجیرهی حملهی چند مرحلهای و پیچیده، فریب کاربر جهت کلیک برروی وبسایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار میباشد.
ترافیک از وبسایت gaweeweb.com به وبسایت جعلی winsccp.net توسط یک سربرگ(header) ارجاعدهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل میگردد. اگر ارجاعدهنده صحیح نباشد، کاربر به یک ویدئو ازپیش تهیهشده در یوتیوب هدایت میشود. در نهایت یک فایل به شکل (“WinSCP_v.6.1.zip”) دانلود میشود که با یک فایل اجرایی همراه است و هنگام راهاندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرارداده شدهاست، استفاده میکند.
DLL، به نوبه خود، یک نصبکننده قانونی WinSCP را دانلود و اجرا میکند تا ظاهر فریبنده هدف مهاجم حفظ شود، در حالی که به طور مخفیانه اسکریپتهای Python (“slv.py” و “wo15.py”) را در پس زمینه اجرا میکند تا عملیات مخربی از این طریق صورت گیرد.
هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترلشده توسط مهاجم از راه دور طراحی شدهاند تا به مهاجمان اجازه دهند دستورات مخرب را روی میزبان اجرا کنند. این اولین بار نیست که از تبلیغات جستجوی پویای گوگل جهت توزیع بدافزار بهرهبرداری میشود. اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جستجوی PyCharm بودند با لینکهایی به یک وبسایت هک شده که یک نصبکننده مخرب را دربرداشت، هدایت میکرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد میکرد.
به گفته محققان، با توجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده میکنند، به احتمال زیاد این اهداف، به افرادی که به دنبال نرمافزار WinSCP هستند محدود میشود. تنظیمات مسدودسازی جغرافیایی استفاده شده در سایت میزبان بدافزار میتواند نشانگر این باشد که چه کاربرانی در چه کشورها یا مناطقی قربانی این فریب شدهاند.
محبوبیت بدافزارهای در پوشش تبلیغات(Malvertising) میان مجرمان سایبری در چند سال گذشته افزایش داشتهاست و کمپین های بدافزار متعددی از این تاکتیک برای حملات در ماه های اخیر استفاده کردهاند.
منبع : افتانا
