کمیته رکن چهارم – یک سرویس جدید جرایم سایبری با نام ۱Campaign شناسایی شده که به مهاجمان کمک میکند تبلیغات مخرب در Google Ads را برای مدت طولانی آنلاین نگه دارند، بدون آنکه توسط اسکنرهای خودکار یا پژوهشگران امنیتی شناسایی شوند.
به گزارش کمیته رکن چهارم و بر اساس تحقیقات شرکت امنیت داده Varonis، این پلتفرم یک سرویس پیشرفته cloaking است که محتوای مخرب را فقط به قربانیان واقعی نمایش میدهد و در مقابل، به تحلیلگران امنیتی و رباتهای اسکن، صفحات کاملاً بیخطر (white page) ارائه میکند. گفته میشود این عملیات حداقل سه سال فعال بوده و توسط توسعهدهندهای با نام مستعار DuppyMeister مدیریت میشود.
۱Campaign با تحلیل بلادرنگ بازدیدکنندگان، بر اساس موقعیت جغرافیایی، ISP، نوع دستگاه، مرورگر و حتی الگوهای رفتاری تصمیم میگیرد کاربر به صفحه فیشینگ یا crypto drainer هدایت شود یا یک صفحه سالم مشاهده کند. این سیستم برای هر بازدیدکننده یک Fraud Score بین ۰ تا ۱۰۰ محاسبه میکند و کاربرانی که از دیتاسنترها، VPNها یا زیرساختهای مرتبط با شرکتهای فناوری مانند Microsoft و Google وارد شوند، بهطور خودکار مسدود میشوند.
در یکی از نمونههای بررسیشده، از میان ۱۶۷۶ بازدیدکننده، ۹۹.۴ درصد فیلتر شده و تنها ۱۰ نفر به صفحه مخرب هدایت شدهاند؛ رویکردی که نشان میدهد هدف این سرویس، دقت بالا و ماندگاری طولانی کمپینهاست، نه جذب ترافیک گسترده.
این پلتفرم حتی یک ابزار اختصاصی برای راهاندازی تبلیغات در گوگل ارائه میدهد که امکان اجرای همزمان کمپینهای مخرب و بیخطر را فراهم میکند و برای عبور از سیاستهای نظارتی Google Ads طراحی شده است. به همین دلیل، برخی از این تبلیغات تا زمانی که قربانیان آنها را گزارش نکنند، فعال باقی میمانند.
کارشناسان هشدار میدهند با ظهور چنین زیرساختهایی، اسکنهای ساده URL دیگر کافی نیستند، زیرا محتوا بهصورت پویا تغییر میکند و فقط کاربران هدف واقعی نسخه مخرب را مشاهده میکنند.
Varonis توصیه کرده برای تحلیل مؤثر این نوع تهدیدها، از شبیهسازی تعامل انسانی، تنوع IP و fingerprint مرورگر واقعی استفاده شود. همچنین به کاربران توصیه میشود هنگام کلیک روی تبلیغات اسپانسری گوگل، بهویژه برای دانلود نرمافزار یا ورود اطلاعات حساس، دقت بیشتری داشته باشند و آدرس دامنه را بهطور کامل بررسی کنند.
ظهور ۱Campaign نشاندهنده حرفهایتر شدن مدل «جرم سایبری بهعنوان سرویس» است؛ مدلی که در آن مهاجمان با تمرکز بر قربانیان باکیفیت و استفاده از فیلترینگ پیشرفته، عملیات خود را پنهانتر و ماندگارتر از گذشته اجرا میکنند.
منبع: bleepingcomputer
