أخبار التقنية

حتى إشعار آخر ، فكر مليًا قبل استخدام Google لتنزيل البرنامج


GettyImages

لطالما كان البحث في Google عن تنزيلات البرامج الشهيرة مصحوبًا بالمخاطر ، ولكن خلال الأشهر القليلة الماضية ، كان الأمر خطيرًا للغاية ، وفقًا للباحثين ومجموعة شبه عشوائية من الاستفسارات.

كتب متطوعون في Spamhaus يوم الخميس: “اعتاد باحثو التهديدات على رؤية تدفق معتدل من الإعلانات الخاطئة عبر إعلانات Google”. “ومع ذلك ، خلال الأيام القليلة الماضية ، شهد الباحثون ارتفاعًا هائلاً يؤثر على العديد من العلامات التجارية الشهيرة ، مع استخدام العديد من البرامج الضارة. هذه ليست القاعدة.'”

أحد التهديدات الجديدة العديدة: MalVirt

تأتي الزيادة من العديد من عائلات البرامج الضارة ، بما في ذلك AuroraStealer و IcedID و Meta Stealer و RedLine Stealer و Vidar و Formbook و XLoader. في الماضي ، كانت هذه العائلات تعتمد عادةً على التصيد الاحتيالي والبريد العشوائي الضار الذي يرفق مستندات Microsoft Word بوحدات ماكرو مفخخة. على مدار الشهر الماضي ، أصبح إعلانات Google المكان المناسب للمجرمين لنشر بضاعتهم الخبيثة المتخفية في صورة تنزيلات مشروعة عن طريق انتحال صفة العلامات التجارية مثل Adobe Reader و Gimp و Microsoft Teams و OBS و Slack و Tor و Thunderbird.

في نفس اليوم الذي نشرت فيه Spamhaus تقريرها ، وثق باحثون من شركة الأمن Sentinel One حملة إعلانات خبيثة متقدمة من Google تدفع عدة برامج تحميل ضارة تم تنفيذها في .NET. أطلق Sentinel One على هذه اللوادر اسم MalVirt. في الوقت الحالي ، يتم استخدام برامج تحميل MalVirt لتوزيع البرامج الضارة المعروفة باسم XLoader ، وهي متوفرة لكل من Windows و macOS. يعد XLoader خليفة للبرامج الضارة المعروفة أيضًا باسم Formbook. يستخدم المهاجمون برنامج XLoader لسرقة بيانات جهات الاتصال والمعلومات الحساسة الأخرى من الأجهزة المصابة.

تستخدم لوادر MalVirt المحاكاة الافتراضية المشوشة لتجنب حماية نقطة النهاية والتحليل. لإخفاء حركة مرور C2 الحقيقية والتهرب من اكتشافات الشبكة ، تعمل إشارات MalVirt على خداع خوادم القيادة والتحكم المستضافة لدى مقدمي الخدمات بما في ذلك Azure و Tucows و Choopa و Namecheap. كتب الباحث في Sentinel One توم هيجل:

كرد فعل على قيام Microsoft بحظر وحدات ماكرو Office افتراضيًا في المستندات من الإنترنت ، تحولت الجهات الفاعلة في التهديد إلى طرق توزيع البرامج الضارة البديلة – وكان آخرها الإعلان الخبيث. تُظهر لوادر MalVirt التي لاحظناها مقدار الجهد الذي يبذله ممثلو التهديد في التهرب من الكشف وإحباط التحليل.

البرامج الضارة من عائلة Formbook هي أداة معلومات ذات قدرة عالية يتم نشرها من خلال تطبيق قدر كبير من تقنيات مكافحة التحليل ومكافحة الاكتشاف بواسطة لوادر MalVirt. يتم توزيعها تقليديًا كمرفق لرسائل البريد الإلكتروني للتصيد الاحتيالي ، ونقيّم أن الجهات الفاعلة في التهديد التي توزع هذه البرامج الضارة من المحتمل أن تنضم إلى اتجاه الإعلان الخبيث.

نظرًا للحجم الهائل لممثلي تهديد الجمهور الذين يمكن أن يصلوا من خلال الإعلانات الخبيثة ، نتوقع استمرار توزيع البرامج الضارة باستخدام هذه الطريقة.

رفض ممثلو جوجل مقابلة. وبدلاً من ذلك ، قدموا البيان التالي:

غالبًا ما يستخدم الفاعلون السيئون تدابير معقدة لإخفاء هوياتهم والتهرب من سياساتنا وإنفاذنا. لمكافحة هذا الأمر على مدار السنوات القليلة الماضية ، أطلقنا سياسات شهادات جديدة ، وعززنا عملية التحقق من المعلنين ، وزدنا قدرتنا على اكتشاف عمليات الخداع المنسقة ومنعها. نحن على علم بالتصعيد الأخير في النشاط الإعلاني الاحتيالي. إن معالجتها أولوية حاسمة ونحن نعمل على حل هذه الحوادث في أسرع وقت ممكن.

ليس من الصعب الحصول على أدلة غير مؤكدة على أن الإعلان الخاطئ من Google خارج عن نطاق السيطرة. من المحتمل أن تؤدي عمليات البحث التي تبحث عن تنزيلات للبرامج إلى الإعلانات الخبيثة. خذ ، على سبيل المثال ، النتائج التي قدمتها Google للبحث يوم الخميس بحثًا عن “تنزيل الاستوديو المرئي”:

النقر فوق هذا الارتباط الذي ترعاه Google أعاد توجيهي لتنزيل الاستوديو[.]net ، الذي تم وضع علامة عليه بواسطة VirusTotal على أنه ضار بواسطة موفر نقطة نهاية واحد فقط:

تم اكتشاف التنزيل المقدم من هذا الموقع مساء الخميس على أنه ضار بواسطة 43 محركًا من محركات مكافحة البرامج الضارة:

التنزيل ضار:

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى