إذا كنت تبحث عن تطبيقات وبرامج لتحويل PDF أو Notepad++ على جوجل، فكن على حذر، حيث حذرت شركة الأمن السيبراني Malwarebytes، من ظهور حملة إعلانية ضارة تستفيد من إعلانات Google لتوجيه المستخدمين الذين يبحثون عن هذه البرامج الشائعة إلى صفحات مقصودة خطيرة وتوزيع برمجيات خبيثة.
ويدعي التقرير أن حملة الإعلانات الضارة "فريدة من نوعها في طريقها لأخذ بصمات المستخدمين وتوزيع الحمولات الحساسة للوقت"، والشيء الآخر الذي يميز هذه الحملة عن غيرها هو الطريقة التي يتم بها تنزيل التطبيقات.
كيف يعمل الهاكرز
تستهدف حملة القرصنة المستخدمين الذين يبحثون عن إصدارات مجانية من برنامج Notepad++ ومحولات PDF مع إعلانات مزيفة على بحث جوجل، وتنقل هذه الإعلانات المستخدمين إلى موقع ويب خادع بعد تصفية برامج الروبوت وعناوين IP غير المرغوب فيها.
وقال التقرير: "يحدث المستوى الأول من التصفية عندما ينقر المستخدم على أحد هذه الإعلانات، ومن المحتمل أن يكون هذا بمثابة فحص IP يتجاهل شبكات VPN وعناوين IP الأخرى غير الأصلية ويظهر بدلاً من ذلك موقعًا خادعًا".
وتتم إعادة توجيه الضحية إلى موقع ويب مزيف يعلن عن البرنامج، مع أخذ بصمات أصابع النظام بصمت لتحديد ما إذا كان الطلب ناشئًا من جهاز افتراضي، ويتم تعيين معرف فريد للأهداف المحتملة للتتبع ولجعل كل تنزيل فريدًا وحساسًا للوقت، وفقًا للتقرير.
وتنشئ البرامج الضارة في المرحلة النهائية اتصالاً بمجال بعيد على منفذ مخصص وتقدم برامج ضارة للمتابعة من خلال برمجيات HTA، وقال جيروم سيجورا، مدير استخبارات التهديدات بشركة Malwarebytes: "يطبق ممثلو التهديدات بنجاح تقنيات التهرب التي تتجاوز عمليات التحقق من الإعلانات وتسمح لهم باستهداف أنواع معينة من الضحايا".
وأضاف: "مع وجود سلسلة تسليم موثوقة للبرامج الضارة، يمكن للجهات الخبيثة التركيز على تحسين صفحاتها الخادعة وإنشاء حمولات مخصصة من البرامج الضارة".
وأشار التقرير إلى أنه يتم خداع المستخدمين الذين يصلون إلى الموقع المزيف لتنزيل برنامج تثبيت ضار، والذي يقوم بعد ذلك بتنفيذ برنامج FakeBat (المعروف أيضًا باسم EugenLoader)، وهو برنامج تحميل مصمم لتنزيل تعليمات برمجية ضارة إضافية.