هشدار در خصوص یک کمپین تبلیغاتی آلوده

شرکت سایبری Malwarebytes  به تازگی اعلام کرده است که یک کمپین تهاجمی جدید، با کپی کردن اخبار وب‌سایت اصلی «اخبار ویندوز » در یک پورتال با نام «Windows Report»، به دنبال سرقت اطلاعات از طریق ابزار CPU-Z ویندوز می‌‌‌باشد. براساس اطلاعیه صادر شده، سایت اخبار ویندوز با تهدید امنیتی خاصی مواجه نشده است، اما مهاجمان محتوای آن را کپی کردند تا کاربران را فریب دهند و نرم‌افزارهای مخرب دانلود کنند. این نوع وب‌سایت‌‌‌ها اغلب توسط افراد حرفه‌ای و مدیران سیستم‌ها جهت خواندن آخرین بررسی‌های رایانه‌‌‌ای، یادگیری برخی نکات و دانلود ابزارهای نرم‌افزاری مورد بازدید قرار می‌گیرد. براساس تحقیقات، کمپین مهاجم از تبلیغات گوگل برای تبلیغ نسخه آلوده CPU-Z، یک ابزار محبوب ویندوز برای عیب‌یابی، استفاده نموده است تا کاربران را ترغیب به دانلود یک محتوای مخرب بنماید. این محتوا شامل یک نصب‌‌‌کننده MSIX با امضای دیجیتال با یک اسکریپت مخرب PowerShell و یک لودر به نام FakeBat است. برای فرار از شناسایی، مهاجمان از روش‌‌‌های پنهان‌‌‌سازی استفاده کرده‌اند.
شرکت Malwarebytes با اشاره به اینکه قبلاً تبلیغ مخرب دیگری را با استفاده از الگویی مشابه شناسایی کرده است، اعلام نموده که هر کسی که روی تبلیغ کلیک کند و قربانی مورد انتظار نباشد، یک وبلاگ استاندارد با تعدادی مقاله را مشاهده خواهد کرد. اما اگر قربانی واقعی روی پیوند کلیک کند، به دامنه دیگری هدایت می‌‌‌شود که با تقلید از وب سایت Windows Report و نام دامنه تقریباً یکسان، اما نشانی اینترنتی متفاوتی ایجاد شده است. طبق گفته Malwarebytes، چندین دامنه دیگر نیز در همان آدرس IP میزبانی شده و در کمپین‌‌‌های تبلیغات بد استفاده می‌‌‌شود. 

محصولات تحت تاثیر
براساس اعلام Malwarebytes مهاجمان گزینه ایجاد یک سایت فریبنده شبیه اخبار ویندوز را انتخاب کرده-اند، زیرا بسیاری از نرم‌افزارهای کاربردی اغلب از این پورتال‌‌‌ها به جای صفحه وب‌‌‌سایت‌‌‌های رسمی دانلود می‌شوند. کمپین حاضر با سوءاستفاده از اعتماد کاربران حرفه‌‌‌ای ویندوز در مورد اخبار منتشر شده، اقدام به انتشار بدافزارهای مختلف ویندوزی نموده است. گفته می‌شود که این حادثه بخشی از یک کمپین تبلیغاتی بزرگ‌تر است که سایر ابزارهای کاربردی مانند Notepad++، Citrix و VNC Viewer را نیز هدف قرار می‌دهد.
کمپین‌های مشابه قبلاً قربانیان را با ابزارهایی که محتوای وب‌سایت‌های نرم‌افزاری مانند Webex، AnyDesk یا KeePass را تکرار می‌کردند، فریب داده‌‌‌اند. تبلیغات مخرب همچنین می توانند در وب سایت-های شناخته شده و قابل اعتماد ظاهر شوند که قبلاً نمونه‌‌‌هایی از آن‌ها در سایت‌‌‌های نشریات نیویورک تایمز و آتلانتیک مشاهده شده است.

توصیه‌های امنیتی
براساس اعلام شرکت Malwarebytes، دامنه‌های تبلیغاتی نادرست مسدود شده و در خصوص حذف آن‌ها اطلاعات لازم به گوگل داده شده است. اما تکرار حوادث مشابه زنگ خطری برای مدیران شبکه و کاربران ویندوزی است تا از دانلود فایل‌‌‌ها از منابعی بجز وب سایت‌‌‌های اصلی شرکت‌‌‌ها و یا سایت‌‌‌های معتبر اینترنتی، اجتناب نمایند. فعال بودن فایروال و به‌روز بودن آنتی‌ویروس سیستم‌‌‌ها از جمله راه‌‌‌کارهای قابل توصیه برای ارتقاء سطح امنیت کاربران می‌‌‌باشد.

منابع خبر:

[1]https://cybernews.com/security/malvertising-campaign-targets-windows-geeks/?utm_source=signal&utm_m…
[2]https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-de…