در این راستا به تازگی اعلام شده است شواهد حاکی از آن بوده که مهاجمان امنیتی، از نتایج تغییریافتهی جستوجو و تبلیغات گوگل سوءاستفاده میکنند تا کاربرانی که قصد دانلود نرمافزارهایی مانند WinScp دارند را فریب دهند، به این صورت که بجای نرمافزار موردنظر، به اشتباه بدافزار را نصب کنند.
توصیههای امنیتی
هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترلشده توسط مهاجم از راه دور طراحی شدهاند تا به مهاجمان اجازه دهند دستورات مخرب را روی میزبان اجرا کنند. این اولین بار نیست که از تبلیغات جستوجوی پویای گوگل جهت توزیع بدافزار بهرهبرداری میشود.
به گفته محققان، با توجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده میکنند، به احتمال زیاد این اهداف، به افرادی که به دنبال نرمافزار WinSCP هستند محدود میشود.
در نهایت یک فایل به شکل (“WinSCP_v.6.1.zip”) دانلود میشود که با یک فایل اجرایی همراه است و هنگام راهاندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرارداده شده است، استفاده میکند. DLL، به نوبه خود، یک نصبکننده قانونی WinSCP را دانلود و اجرا میکند تا ظاهر فریبنده هدف مهاجم حفظ شود، در حالی که به طور مخفیانه اسکریپتهای Python (“slv.py” و “wo15.py”) را در پس زمینه اجرا میکند تا عملیات مخربی از این طریق صورت گیرد.
اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جستوجوی PyCharm بودند با لینکهایی به یک وبسایت هک شده که یک نصبکننده مخرب را دربرداشت، هدایت میکرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد میکرد.
انتهای پیام
منبع خبر: https://www.isna.ir/news/1402083022402/%D9%86%D8%AD%D9%88%D9%87-%D9%81%D8%B1%DB%8C%D8%A8-%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1%D8%A7%D9%86-%D8%A7%D8%B2-%D8%B7%D8%B1%DB%8C%D9%82-%D8%AA%D8%A8%D9%84%DB%8C%D8%BA%D8%A7%D8%AA-%D9%85%D8%AE%D8%B1%D8%A8-%DA%AF%D9%88%DA%AF%D9%84
گفتنی است گوگل چندی پیش بهروزرسانی امنیتی اضطراری جدید برای مرورگر کروم منتشر کرد که بسیار مشکل آفرین است چون هکرها یک راه برای بهرهبرداری از آن در حملات خود ابداع کردهاند.
گفته شده هدف نهایی این زنجیرهی حملهی چند مرحلهای و پیچیده، فریب کاربر جهت کلیک برروی وبسایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار است.
کارشناسان امنیتی به تازگی اعلام کردهاند مهاجمان امنیتی، از نتایج تغییریافته جستوجو و تبلیغات گوگل سوءاستفاده میکنند تا کاربرانی را که قصد دانلود نرمافزارهایی مانند WinScp دارند فریب دهند، به این صورت که بجای نرمافزار موردنظر، به اشتباه بدافزار را نصب کنند.
طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) تنظیمات مسدودسازی جغرافیایی استفاده شده در سایت میزبان بدافزار میتواند نشانگر این باشد که چه کاربرانی در چه کشورها یا مناطقی قربانی این فریب شدهاند. محبوبیت بدافزارهای در پوشش تبلیغات (Malvertising) میان مجرمان سایبری در چند سال گذشته افزایش داشته است و کمپین های بدافزار متعددی از این تاکتیک برای حملات در ماه های اخیر استفاده کردهاند.
به گزارش ایسنا، گوگل امروزه پرکاربردترین موتور جستوجو در سطح جهان است و اکنون روزانه میلیاردها جستوجو در گوگل به بیش از ۱۵۰ زبان در سراسر جهان انجام میشود. گوگل بیش از ۲۰ مرکز داده در سراسر جهان دارد که ماموریت آنها، در دسترس قرار دادن اطلاعات برای همه جهان به طور یکسان است. گفتنی است نام مشهور جهانی “گوگل” از یک اصطلاح ریاضی برگرفته شده که در حدود سال ۱۹۲۰ به وجود آمده است.
ترافیک از وبسایت gaweeweb[.]com به وبسایت جعلی winsccp[.] net توسط یک سربرگ (header) ارجاعدهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل میشود. اگر ارجاعدهنده صحیح نباشد، کاربر به یک ویدئو ازپیش تهیهشده در یوتیوب هدایت میشود.
