فریب کاربران WinScp از طریق تبلیغات مخرب گوگل

شواهد حاکی از آن‌ است که مهاجمان امنیتی، از نتایج تغییریافته‌ی جستجو و تبلیغات گوگل سوءاستفاده می‌کنند تا کاربرانی که قصد دانلود نرم‌افزارهایی مانند WinScp‌ دارند را فریب دهند به این صورت که بجای نرم‌افزار مورد‌نظر، به اشتباه بدافزار را نصب کنند. تبلیغ مخرب، کاربر را به یک وب‌سایت در معرض خطر وردپرس  “gameeweb[.]com” هدایت می کند و در نهایت او را به یک سایت فیشینگ (سرقت سایبری) که کنترل آن بدست مهاجم است می‌رساند. مهاجمان از سرویس تبلیغات جستجوی پویای گوگل (Dynamic Search Ads) که به طور خودکار تبلیغاتی را بر اساس محتوای یک سایت تولید می کند، استفاده می‌کنند تا تبلیغات مخربی که قربانیان را به سایت آلوده می برند را ایجاد کنند. هدف نهایی این زنجیره‌‌ی حمله‌ی چند مرحله‌ای و پیچیده، فریب کاربر جهت کلیک برروی وب‌سایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار می‌باشد.
ترافیک از وب‌سایت gaweeweb[.]com به وب‌سایت جعلی winsccp[.] net توسط یک سربرگ(header) ارجاع‌دهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل می‌گردد. اگر ارجاع‌دهنده صحیح نباشد، کاربر به یک ویدئو ازپیش‌ تهیه‌شده در یوتیوب هدایت می‌شود. در نهایت یک فایل به شکل  ("WinSCP_v.6.1.zip") دانلود می‌شود که با یک فایل اجرایی همراه است و هنگام راه‌اندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرار‌داده‌ شده‌است، استفاده می‌کند. DLL، به نوبه خود، یک نصب‌کننده قانونی WinSCP را دانلود و اجرا می‌کند تا ظاهر فریبنده هدف  مهاجم حفظ شود، در حالی که به طور مخفیانه اسکریپت‌های Python ("slv.py" و "wo15.py") را در پس زمینه اجرا می‌کند تا عملیات مخربی از این طریق صورت گیرد. هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترل‌شده توسط مهاجم از راه دور طراحی شده‌اند تا به مهاجمان اجازه ‌دهند دستورات مخرب را روی میزبان اجرا کنند. این اولین بار نیست که از تبلیغات جستجوی پویای گوگل جهت توزیع بدافزار بهره‌برداری می‌شود. اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جستجوی PyCharm بودند با لینک‌هایی به یک وب‌سایت هک شده که یک نصب‌کننده مخرب را دربرداشت، هدایت می‌کرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد می‌کرد.

توصیه‌های امنیتی
به گفته محققان، با توجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده می‌کنند، به احتمال زیاد این اهداف، به افرادی که به دنبال نرم‌افزار WinSCP هستند محدود می‌شود. تنظیمات مسدود‌سازی جغرافیایی استفاده شده در سایت میزبان بدافزار می‌تواند نشانگر این باشد که چه کاربرانی در چه کشور‌ها یا مناطقی قربانی این فریب شده‌اند. محبوبیت بدافزارهای در پوشش تبلیغات(Malvertising) میان مجرمان سایبری در چند سال گذشته افزایش داشته‌است و کمپین های بدافزار متعددی از این تاکتیک برای حملات در ماه های اخیر استفاده کرده‌اند.

منبع خبر:

https://translate.google.com/?sl=auto&tl=en-US&text=Malvertising%20has%20grown%20in%20popularity%20…;