زاد مشغلو البرامج الضارة من إساءة استخدام منصة الإعلان التابعة لجوجل (Google Ads) لنشر برامجهم للمستخدمين الذين يبحثون عن البرامج الشائعة عبر محرك جوجل.
ومن بين البرامج التي انتُحِلت هويتها في هذه الحملات: برنامج تصحيح القواعد النحوية (Grammarly)، وبرنامج التواصل للشركات (Slack)، وبرنامج تنزيل ملفات تورينت (μTorrent)، وبرنامج تصوير الشاشة (OBS)، وبرنامجي التحكم بسطح المكتب عن بُعد (AnyDesk) و (Teamviewe)، وحزمة البرامج المكتبية (Libre Office)، والمتصفح (Brave)، بالإضافة إلى برامج أخرى.
وفي هذه الحملات، يستنسخ المهاجمون المواقع الرسمية للمنتجات المذكورة أعلاه بهدف توزيع إصدارات خبيثة من البرامج حينما ينقر المستخدمون على زر التنزيل. وتتضمن بعض البرامج الضارة التي تُنزَّل على أنظمة الضحايا بهذه الطريقة متغيرات من (Raccoon Stealer)، وهو إصدار مخصص من برنامج سرقة المعلومات (Vidar Stealer)، ومُحمِّل البرامج الضارة (IcedID).
وكشف تقريران من شركتي أمن المعلومات (Guardio Labs)، و (Tren Micro) عن حملة ضخمة لهجمات التلاعب بتهجئة الكلمات استخدمت أكثر من 200 نطاق لانتحال هوية برامج شائعة. وفي هذه الحملة يُروَّج للمواقع الضارة لجمهور أوسع عبر حملات إعلانات جوجل.
يُشار إلى أن منصة إعلانات جوجل تساعد المعلنين على الترويج للصفحات على محرك بحث جوجل، مما يجعلها في مرتبة عالية في قائمة النتائج كإعلانات، وغالبًا ما تكون فوق الموقع الرسمي البرنامج.
وهذا يعني أن المستخدمين الذين يبحثون عن برنامج شرعي على متصفح بدون مانع إعلانات نشط سيشاهدون الترويج أولًا ومن المرجح أن ينقروا عليه لأنه يبدو مشابهًا جدًا لنتيجة البحث الفعلية.
وإذا اكتشفت جوجل أن صفحة الهبوط ضارة، فستُحظر الحملة ويُزال الإعلان، لذلك يحتاج المهاجمون إلى استخدام خدعة في هذه الخطوة لتجاوز عمليات التحقق الآلية من جوجل.
ووفقًا لشركتي (Guardio) و (Trend Micro)، تتمثل الحيلة في نقل الضحايا بالنقر على الإعلان إلى موقع غير ذي صلة ولكنه حميد أنشأه المهاجمون ثم إعادة توجيههم إلى موقع ضار ينتحل هوية البرنامج.
وتوضح (Guardio Labs) في التقرير: “في اللحظة التي يزور فيها المستخدمون المستهدفون هذه المواقع المخفية، فإن الخادم على الفور يعيد توجيههم إلى الموقع الاحتيالي ومن هناك إلى الحمولة الضارة”. ثم تُنزَّل تلك الحمولة، التي تأتي في شكل ملف مضغوط (ZIP)، أو ملف تنفيذي (MSI)، من خدمات مشاركة الملفات واستضافة الأكواد البرمجية الشهيرة، مثل: (GitHub)، أو دروب بوكس، أو (Discord CDN). ويضمن ذلك عدم اعتراض أي برنامج لمكافحة الفيروسات يعمل على جهاز الضحية على التنزيل.
وتقول (Guardio Labs) إنه في حملة لاحظتها في شهر تشرين الثاني/ نوفمبر الماضي، نزّل المهاجمون على أجهزة المستخدمين نسخة من برنامج (Grammarly) تحوي البرنامج الخبيث (Raccoon Stealer). ولأن البرنامج الضار مُضمَّن في البرنامج الشرعي، فإنه يُثبت على جهاز الضحية دون أن يُكتشف.
وجاء في تقرير شركة (Trend Micro)، الذي يركز على حملة (IcedID)، إن جهات التهديد تسيء استخدام نظام توجيه حركة المرور (Keitaro Traffic Direction System) لاكتشاف: هل زائر الموقع باحث أمني أو أنه ضحية عادية قبل حدوث إعادة التوجيه. وشوهدت إساءة استخدام نظام توجيه حركة المرور هذه منذ عام 2019.
ويمكن أن تكون نتائج البحث التي يُروَّج لها خادعة لأنها تحمل كل علامات الشرعية. وقد أصدر مكتب التحقيقات الفيدرالي حديثًا تحذيرًا بشأن هذا النوع من الحملات الإعلانية، وحثّ مستخدمي الإنترنت على توخي الحذر الشديد.
وتتمثل إحدى الطرق الجيدة لمنع هذه الحملات في تنشيط مانع الإعلانات على متصفح الويب، والذي يقوم بتصفية النتائج التي يُروَّج لها عبر محرك جوجل. وهناك إجراء وقائي آخر وهو التمرير إلى الأسفل حتى يُرى النطاق الرسمي للبرنامج الذي يُبحث عنه. وإن كان المستخدم يزور موقعًا محددًا بصورة متكررة، فمن المستحسن إضافته إلى الإشارات المرجعية للوصول إليه مباشرةً في وقت لاحق.
ومن العلامات الشائعة التي تكشف أن برنامج التثبيت الذي يوشك المستخدم على تنزيله ضار هو حجم الملف غير الطبيعي، بالإضافة إلى التلاعب بتهجئة الاسم الذي قد يكون واضحًا.