گتی ایماژ
جستجوی گوگل برای دانلود نرم افزارهای محبوب همیشه با خطراتی همراه بوده است، اما به گفته محققان و مجموعه ای شبه تصادفی از پرس و جوها، طی چند ماه گذشته، کاملاً خطرناک بوده است.
داوطلبان در Spamhaus روز پنجشنبه نوشتند: «محققان تهدید به مشاهده جریان متوسط تبلیغات بد از طریق Google Ads عادت کردهاند. با این حال، در چند روز گذشته، محققان شاهد یک جهش عظیم بوده اند که برندهای معروف متعددی را تحت تاثیر قرار داده است و بدافزارهای متعددی مورد استفاده قرار گرفته اند. این “هنجار” نیست.”
یکی از چندین تهدید جدید: MalVirt
این افزایش از خانوادههای بدافزار متعددی از جمله AuroraStealer، IcedID، Meta Stealer، RedLine Stealer، Vidar، Formbook و XLoader است. در گذشته، این خانواده ها معمولاً به فیشینگ و هرزنامه های مخربی که اسناد مایکروسافت ورد را با ماکروهای به دام افتاده متصل می کردند، متکی بودند. در یک ماه گذشته، Google Ads به مکانی برای مجرمان تبدیل شده است تا با جعل هویت برندهایی مانند Adobe Reader، Gimp، Microsoft Teams، OBS، Slack، Tor و Thunderbird، کالاهای مخرب خود را که به عنوان دانلودهای قانونی پنهان می شوند، گسترش دهند.
در همان روزی که Spamhaus گزارش خود را منتشر کرد، محققان شرکت امنیتی Sentinel One یک کمپین تبلیغاتی پیشرفته گوگل را ثبت کردند که چندین بارگزار مخرب را در دات نت اجرا می کرد. Sentinel One این لودرها را MalVirt نامیده است. در حال حاضر، بارگذارهای MalVirt برای توزیع بدافزاری که معمولاً به نام XLoader شناخته میشود، استفاده میشود که هم برای ویندوز و هم برای macOS در دسترس است. XLoader جانشین بدافزاری است که با نام Formbook نیز شناخته می شود. عوامل تهدید از XLoader برای سرقت اطلاعات مخاطبین و سایر داده های حساس از دستگاه های آلوده استفاده می کنند.
بارگذارهای MalVirt از مجازی سازی مبهم برای فرار از حفاظت و تجزیه و تحلیل نقطه پایانی استفاده می کنند. برای پنهان کردن ترافیک واقعی C2 و فرار از تشخیص شبکه، MalVirt برای فریب دادن سرورهای فرمان و کنترل میزبانی شده در ارائه دهندگان از جمله Azure، Tucows، Choopa و Namecheap استفاده میکند. تام هگل، محقق Sentinel One نوشت:
در پاسخ به مسدود کردن ماکروهای آفیس توسط مایکروسافت به طور پیشفرض در اسناد از اینترنت، عوامل تهدید به روشهای توزیع بدافزار جایگزین روی آوردهاند – اخیراً تبلیغات بد. بارگذارهای MalVirt که ما مشاهده کردیم نشان میدهند که بازیگران تهدید چقدر تلاش میکنند تا از شناسایی و خنثی کردن تجزیه و تحلیل فرار کنند.
بدافزار خانواده Formbook یک infostealer بسیار توانمند است که از طریق استفاده از تعداد قابل توجهی از تکنیک های ضد تجزیه و تحلیل و ضد تشخیص توسط بارگذارهای MalVirt به کار گرفته می شود. بهطور سنتی که بهعنوان ضمیمه ایمیلهای فیشینگ توزیع میشود، ارزیابی میکنیم که عوامل تهدیدکنندهای که این بدافزار را توزیع میکنند احتمالاً به روند بدافزار میپیوندند.
با توجه به حجم عظیمی که بازیگران تهدید کننده مخاطب می توانند از طریق تبلیغات نادرست به آن دست یابند، انتظار داریم بدافزار با استفاده از این روش به توزیع بدافزار ادامه دهد.
نمایندگان گوگل مصاحبه را رد کردند. در عوض، آنها بیانیه زیر را ارائه کردند:
بازیگران بد اغلب از اقدامات پیچیده ای برای پنهان کردن هویت خود و فرار از سیاست ها و اجرای ما استفاده می کنند. برای مبارزه با این موضوع در چند سال گذشته، سیاستهای صدور گواهینامه جدید را راهاندازی کردهایم، تأیید صحت تبلیغکننده را افزایش دادهایم و ظرفیت خود را برای شناسایی و جلوگیری از کلاهبرداریهای هماهنگ افزایش دادهایم. ما از افزایش اخیر در فعالیت تبلیغاتی تقلبی آگاه هستیم. رسیدگی به آن یک اولویت حیاتی است و ما در تلاش هستیم تا هر چه سریعتر این حوادث را حل کنیم.
به دست آوردن شواهد حکایتی مبنی بر اینکه تبلیغات نادرست گوگل خارج از کنترل است، کار سختی نیست. جستجوهایی که به دنبال دانلود نرم افزار هستند احتمالاً بیشترین احتمال را دارند که تبلیغات نادرست را نشان دهند. به عنوان مثال، نتایجی را که گوگل برای جستجوی پنج شنبه به دنبال «دانلود ویژوال استودیو» به دست آورد، در نظر بگیرید:
با کلیک بر روی آن پیوند حمایت شده توسط Google، من را به downloadstudio هدایت کردم[.]net، که توسط VirusTotal به عنوان مخرب تنها توسط یک ارائه دهنده نقطه پایانی پرچم گذاری شده است:
عصر پنجشنبه، دانلودی که این سایت ارائه کرده بود توسط 43 موتور ضد بدافزار مخرب شناسایی شد:
