کمیته رکن چهارم – شرکت چکپوینت جزییات کارزاری را منتشر کرده که در جریان آن با نمایش تبلیغات مخرب در سایتهای هک شده، دستگاه مراجعهکنندگان به این سایتها به بدافزارهای بانکی، ابزارهای مخرب استخراجکننده ارزرمز، باجافزارها و سایر بدافزارها آلوده میشود.
این شرکت امنیتی اعلام کرده که در هر هفته بیش از ۴۰ هزار آلودگی نشات گرفته از این کارزار توسط چکپوینت رصد شده است.
بهنظر میرسد گروه Master134 ترافیک سرقتی از ۱۰ هزار سایت هک شده WordPress و دستگاههای در سیطره برنامههای بالقوه مخرب را در اختیار شبکه تبلیغاتی AdsTerra قرار داده است. AdsTerra نیز این ترافیکها را در بین چهار شرکت زیر برای انتشار تبلیغات قرار داده است.
- ExoClick
- AdKernel
- EvoLeads
- AdventureFeeds
با این حال، محققان چکپوینت معقتدند اگر چه ممکن است AdsTerra و چهار شرکت مذکور نیت سوئی را دنبال نکنند اما تبلیغاتکنندگان دخیل در این کارزار در اصل تبهکارانی هستند که در پی توزیع باجافزارها، اسبهای تروای بانکی و سایر بدافزارها بر روی دستگاه قربانیان هستند.
اکثر این تبلیغات حاوی کدهای مخرب JavaScript هستند که با بهرهجویی از ضعفهای امنیتی مرورگرها و افزونههای آنها نظیر Flash Player در زمان مراجعه کاربر با نرمافزار آسیبپذیر، دستگاه او را آلوده به بدافزار میکنند.
نکته قابل توجه این که تمامی سایتهای هک شده توسط نسخه ۴٫۷٫۱ سامانه مدیریت محتوای WordPress میزبانی میشوند. نسخهای که به حملات اجرای کد بهصورت از راه دور آسیبپذیر است.
مشروح گزارش چکپوینت در لینک زیر قابل دریافت و مطالعه است:
