کارشناسان امنیتی اخیرا اعلام کردند که مهاجمان از نتایج جستجوی تغییر یافته و تبلیغات گوگل برای فریب کاربرانی که قصد دانلود نرم افزارهایی مانند WinScp را دارند و به جای نرم افزار مورد نظر، بدافزار را نصب می کنند، استفاده می کنند.
به گزارش ICTNN، امروزه گوگل پرکاربردترین موتور جستجوی جهان است و در حال حاضر روزانه میلیاردها جستجو در گوگل به بیش از 150 زبان در سراسر جهان انجام می شود. گوگل بیش از 20 مرکز داده در سرتاسر جهان دارد که مأموریت آن ها دسترسی یکسان به اطلاعات برای همه در سراسر جهان است. لازم به ذکر است که نام جهانی «گوگل» برگرفته از یک اصطلاح ریاضی است که در حدود سال 1920 ایجاد شد.
خدمات ارزشمند گوگل که دنیای فناوری را متحول کرده است شامل توسعه تلفن های هوشمند، محبوب ترین مرورگر جهان به نام «کروم»، سرویس ترجمه «گوگل ترنسلیت»، بزرگترین پلتفرم اشتراک گذاری ویدیو است. در دنیایی که به «یوتیوب» معروف است، از سرویس پیام رسانی «جی میل»، «گوگل مپ» و بسیاری از فناوری های دیگر نام برد.
در همین راستا اخیراً اعلام شد که شواهد حاکی از آن است که مهاجمان امنیتی از نتایج جستجوی اصلاح شده و تبلیغات گوگل برای فریب کاربرانی که قصد دانلود نرم افزارهایی مانند WinScp را دارند، سوء استفاده می کنند، به گونه ای که به جای نرم افزار مورد نظر، اشتباه می کنند. دانلود بدافزار نصب
تبلیغات نادرست کاربر را به سایت وردپرس در معرض خطر “gameeweb” هدایت می کند[.]com» و در نهایت او را به یک سایت فیشینگ (سایبر سرقت) هدایت می کند که توسط مهاجم کنترل می شود. مهاجمان از سرویس تبلیغات جستجوی پویا گوگل استفاده می کنند که به طور خودکار تبلیغات را بر اساس محتوای سایت تولید می کند تا تبلیغات مخربی ایجاد کند که قربانیان را به سایت آلوده هدایت می کند.
گفته می شود هدف نهایی این زنجیره حمله پیچیده و چند مرحله ای فریب کاربر برای کلیک بر روی یک وب سایت WinScp مانند با نام دامنه winccp است.[.]net و دانلود بدافزار
ترافیک از GaweeWeb[.]com به وب سایت جعلی Winsccp[.] net توسط یک هدر ارجاع دهنده که به درستی روی مقدار صحیح تنظیم شده است ارسال می شود. اگر ارجاع دهنده نامعتبر باشد، کاربر به یک ویدیوی از پیش تعریف شده YouTube هدایت می شود.
در نهایت فایلی به شکل (“WinSCP_v.6.1.zip”) دانلود می شود که همراه با فایل اجرایی است و در هنگام راه اندازی از قسمت بارگذاری DLL فایلی به نام python311.dll بارگیری و اجرا می شود که در فایل اصلی گنجانده شده است. DLL، به نوبه خود، یک نصب کننده قانونی WinSCP را دانلود و اجرا می کند تا ظاهر فریبنده هدف مهاجم را حفظ کند، در حالی که مخفیانه اسکریپت های پایتون (“slv.py” و “wo15.py”) را در پس زمینه اجرا می کند تا عملیات مخرب را انجام دهد. بدین ترتیب.
هر دو اسکریپت پایتون برای برقراری ارتباط با یک سرور راه دور که توسط مهاجم کنترل می شود طراحی شده اند تا به مهاجمان اجازه دهند دستورات مخرب را بر روی هاست اجرا کنند. این اولین بار نیست که از تبلیغات جستجوی پویا گوگل برای ارائه بدافزار استفاده می شود.
اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربران را به جستجوی PyCharm با پیوندهایی به یک وبسایت هک شده که شامل یک نصب کننده مخرب بود، هدایت میکرد که به بدافزار سرقت داده اجازه میداد تا در سیستم مستقر شود. قربانی.
توصیه های ایمنی
به گفته محققان، از آنجا که مهاجمان از تبلیغات گوگل برای ارائه بدافزار استفاده می کنند، این اهداف احتمالاً محدود به افرادی خواهد بود که نرم افزار WinSCP را جستجو می کنند.
بر اساس اعلام مرکز مدیریت و هماهنگی حوادث رایانه ای (MAHER)، تنظیمات geo-blocking استفاده شده در سایت میزبان بدافزار می تواند نشان دهد که کدام کاربران در کدام کشورها یا مناطق قربانی این فریب هستند. تبلیغات بد در سال های اخیر در بین مجرمان سایبری محبوبیت پیدا کرده است و چندین کمپین بدافزار از این تاکتیک برای انجام حملات در ماه های اخیر استفاده کرده اند.
شایان ذکر است که گوگل اخیرا آپدیت امنیتی اضطراری جدیدی را برای مرورگر کروم منتشر کرده است که بسیار مشکل ساز است زیرا هکرها راهی برای سوء استفاده از آن در حملات خود پیدا کرده اند.
ICTNN
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
