خبر

هکرها از تبلیغات گوگل برای انتشار بدافزار در نرم افزارهای قانونی سوء استفاده می کنند.

اپراتورهای بدافزار به طور فزاینده ای از پلتفرم Google Ads برای انتشار بدافزار به کاربرانی که در جستجوی محصولات نرم افزاری محبوب هستند سوء استفاده می کنند.

اپراتورهای بدافزار به طور فزاینده ای از پلتفرم Google Ads برای انتشار بدافزار به کاربرانی که در جستجوی محصولات نرم افزاری محبوب

هستند سوء استفاده می کنند.

از جمله محصولاتی که در این کمپین ها جعل هویت می شوند عبارتند از Grammarly، MSI Afterburner، Slack، Dashlane،

Malwarebytes، Audacity، μTorrent، OBS، Ring، AnyDesk، Libre Office، Teamviewer، Thunderbird و Brave.

عوامل تهدید، وب سایت های رسمی پروژه های فوق را شبیه سازی می کنند و با کلیک کاربران بر روی دکمه دانلود، نسخه های تروجانی شده

نرم افزار را توزیع می کنند.

برخی از بدافزارهایی که از این طریق به سیستم های قربانی فرستاده داده می شوند شامل انواع Raccoon Stealer، نسخه سفارشی Vidar

Stealer و بدافزار IcedID هستند.

قبلا هم در این مورد چه در رسانه های خبری چه در شبکه های اجتماعی صحبت شده است. با این حال، یکی از جزئیات گم شده این بود که

کاربران چگونه در معرض این وب سایت ها قرار می گرفتند.

دو گزارش از Guardio Labs و Trend Micro توضیح می‌دهند که این وب‌سایت‌های مخرب از طریق کمپین‌های Google Ad به مخاطبان

گسترده ‌تری تبلیغ می‌شوند.

سوء استفاده از تبلیغات گوگل

پلتفرم Google Ads به تبلیغ‌کنندگان کمک می‌کند تا صفحات را در جستجوی Google تبلیغ کنند، و آنها را در فهرست نتایج به‌عنوان تبلیغات،

اغلب بالاتر از وب‌سایت رسمی پروژه قرار می‌دهند.

این بدان معناست که کاربرانی که به دنبال نرم‌افزار قانونی در مرورگر بدون مسدودکننده تبلیغات فعال هستند، ابتدا تبلیغات را مشاهده

می‌کنند و احتمالاً روی آن کلیک می‌کنند زیرا به نظر بسیار شبیه به نتیجه جستجوی واقعی است.

اگر گوگل تشخیص دهد که سایت مقصد مخرب است، کمپین مسدود می‌شود و تبلیغات حذف می‌شوند، بنابراین عوامل تهدید باید در این

مرحله از ترفندی برای دور زدن بررسی‌های خودکار گوگل استفاده کنند.

طبق گفته‌های Guardio و Trend Micro، ترفند این است که قربانیانی را که روی تبلیغ کلیک می‌کنند به یک سایت نامربوط اما بی خطر که توسط عامل تهدید ایجاد شده است برده و سپس آنها را به یک سایت مخرب که پروژه نرم‌افزاری جعل می‌کند هدایت شوند.

 

 

آزمایشگاه Guardio در گزارش توضیح می‌دهد: «لحظه‌ای که آن سایت‌های «مبدل» توسط بازدیدکنندگان هدف بازدید می‌شوند، سرور

بلافاصله آنها را به سایت rogue  و از آنجا به محموله مخرب هدایت می‌کند.

«این سایت‌های rogue  عملاً برای بازدیدکنندگانی که از جریان تبلیغاتی واقعی که به‌عنوان سایت‌های بی خطر و نامرتبط به crawlers ،

ربات‌ها، بازدیدکنندگان گاه به گاه و البته برای مجریان خط‌مشی Google نشان داده نمی‌شوند، قابل مشاهده نیستند»

بارگیری که به صورت ZIP یا MSI ارائه می شود، از سرویس های اشتراک گذاری فایل و میزبانی کد معتبر مانند GitHub، Dropbox یا

Discord's CDN دانلود می شود. این تضمین می کند که هر گونه برنامه ضد ویروسی که روی دستگاه قربانی اجرا می شود، با دانلود مخالفت

نمی کند.

 

 

آزمایشگاه‌های Guardio می‌گویند که در کمپینی که در ماه نوامبر مشاهده کردند، این هکرها ، کاربران را با یک نسخه تروجان‌شده از

Grammarly که Raccoon Stealer را ارائه می‌کرد، فریب میدادند.

بدافزار با نرم افزار قانونی همراه بود. کاربران آنچه را دانلود کرده‌اند دریافت می‌کنند و بدافزار بی‌صدا نصب می‌شود.

گزارش Trend Micro، که بر کمپین IcedID متمرکز است، می‌گوید که عوامل تهدید از سیستم هدایت ترافیک Keitaro سوء استفاده می‌کنند

تا قبل از انجام تغییر مسیر، شناسایی کنند که آیا بازدیدکننده وب‌سایت یک محقق است یا یک قربانی معتبر. سوء استفاده از این TDS از سال

2019 مشاهده شده است.

از دانلودهای مضر خودداری کنید

نتایج جستجوی تبلیغاتی می‌تواند دشوار باشد زیرا همه نشانه‌های درست بودن را در خود دارند. FBI اخیراً در مورد این نوع کمپین تبلیغاتی

هشدار داده است و از کاربران اینترنتی خواسته است تا بسیار محتاط باشند.

یکی از راه‌های خوب برای مسدود کردن این کمپین‌ها این است که یک مسدودکننده تبلیغات را در مرورگر وب خود فعال کنید، که نتایج

تبلیغاتی را از جستجوی Google فیلتر می‌کند.

یکی دیگر از اقدامات احتیاطی این است که به پایین پیمایش کنید تا دامنه رسمی پروژه نرم افزاری مورد نظر خود را مشاهده کنید. اگر مطمئن

نیستید، دامنه رسمی در صفحه ویکی پدیا نرم افزار ذکر شده است.

اگر به طور مکرر از وب سایت یک پروژه نرم افزاری خاص برای منبع به روز رسانی بازدید می کنید، بهتر است URL را نشانه گذاری کنید و از آن

برای دسترسی مستقیم استفاده کنید.

یک علامت رایج مبنی بر اینکه نصب کننده ای که می خواهید دانلود کنید ممکن است مخرب باشد، اندازه فایل غیرعادی است.

یکی دیگر از موارد ، دامنه سایت دانلود است که ممکن است شبیه به سایت رسمی باشد، اما کاراکترها را در نام یا یک حرف اشتباه باشد،این

حرکت به نام “typosquatting” شناخه میشود.

 

منبع: https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-to-spread-malware-in-legit-software/

مدیر سایت
تهیه کننده:

مدیر سایت

تصاویر

 -  -