قامت جهة ما بانتحال هوية موقع إعلامي معروف وإساءة استخدام شبكة إعلانات جوجل، وكل ذلك لتوصيل البرامج الضارة لـ RedLine infostealer إلى الأشخاص.
كتشف تقرير جديد من Malwarebytes عن نسخة مزيفة من موقع ويندوز ريبورت WindowsReport تمت استضافته على ما يقرب من اثني عشر نطاقًا مختلفًا.
على موقع الويب، استضاف المحتالون إصدارًا طروادة من CPU-Z، وهي أداة مساعدة شائعة لنظام التشغيل ويندوز تساعد المستخدمين على تتبع مكونات الأجهزة المختلفة مثل معدلات ساعة وحدة المعالجة المركزية وما شابه ذلك. الأداة، في الواقع، كانت عبارة عن RedLine Stealer، وهو برنامج معروف لسرقة المعلومات قادر على سرقة بيانات النظام الحساسة، وكلمات المرور المخزنة، ومعلومات الدفع، وملفات تعريف الارتباط، ومعلومات محفظة العملة المشفرة، والمزيد.
وبعد ذلك، قاموا بإنشاء إعلانات وعرضها على شبكة إعلانات جوجل، للترويج لهذا الإصدار الضار من CPU-Z. ويتوقع الباحثون أن استنساخ WindowsReport تم القيام به لإضافة المزيد من الشرعية والجدارة بالثقة إلى الحملة بأكملها. ولكن قبل إرسال المستخدمين إلى موقع الويب هذا، يتم سحبهم من خلال عدد من عمليات إعادة التوجيه، كل ذلك لتجنب برامج مكافحة إساءة الاستخدام من جوجل.
تتم إعادة توجيه بعض المستخدمين إلى صفحات حميدة، بينما تتم إعادة توجيه الآخرين - الذين هم أكثر ملاءمة لتلقي RedLine - إلى موقع الويب النهائي، ولا يُعرف بالضبط كيف يختار المهاجمون ضحاياهم.
ومما يزيد الطين بلة، أن برنامج التثبيت موقّع رقميًا بشهادة صالحة، مما يعني أن أدوات أمان ويندوز ومنتجات مكافحة الفيروسات الأخرى لن تشير على الأرجح إلى البرنامج باعتباره ضارًا.
قامت Malwarebytes بتحليل البنية التحتية لممثلي التهديد لهذه الحملة وتوصلت إلى استنتاج مفاده أنها تم إنشاؤها من قبل نفس الأشخاص الذين قاموا مؤخرًا بتشغيل حملة Notepad ++. وكانت هذه الحملة، التي تم رصدها في أواخر أكتوبر، مماثلة من حيث أنها تضمنت أيضًا نسخة من موقع ويب شرعي، ومجموعة من الإعلانات الضارة التي يتم تقديمها عبر إعلانات جوجل.
لتقليل فرص الإصابة بالبرامج الضارة عند البحث عن أدوات برمجية معينة، يجب على المستخدمين الانتباه عند النقر على النتائج التي يتم الترويج لها في بحث جوجل والتحقق من تطابق الموقع الذي تم تحميله مع النطاق، أو استخدام أداة حظر الإعلانات التي تخفيها تلقائيًا.
المصدر: BleepingComputer, TechRadar