هکرها در استفاده از Google Ads برای اهداف خود پیچیده تر شده اند. آنها از این پلتفرم برای گسترش و توزیع بدافزار به کاربرانی که در حال جستجوی محصولات نرم افزاری معتبر یا ابزارهای دیگر هستند، استفاده می کند.
به عنوان بخشی از این کمپین، هویت برخی از محصولات مثل محصولات زیر جعل شده اند:
- Grammarly
- MSI Afterburner
- Slack
- Dashlane
- Malwarebytes
- Audacity
- µTorrent
- OBS
- Ring
- AnyDesk
- Libre Office
- Teamviewer
- Thunderbird
- Brave
بدافزارهای ارسالی از طریق Google Ads
مهاجمان وبسایت های رسمی این پروژه ها را شبیه سازی می کنند و زمانیکه کاربران روی گزینه دانلود کلیک می کنند، نسخه مخرب نرم افزار به کاربر ارائه می شود.
در نهایت می تواند باعث ارسال انواع مختلفی از بدافزارهای زیر شود:
Raccoon Stealer
A Custom Version of the Vidar Stealer
IcedID malware loader
تعداد زیادی از دامنه های پروژه های نرم افزاری اخیرا جعل شده اند.
به علاوه به عنوان مثال در RedLine stealer، بدافزار از طریق پورتال های تقلبی MSI Afterburner گسترش یافته و کاربران آلوده شده اند. این تنها بخش کوچکی از اطلاعات در دسترس است و از چگونگی هدایت کاربران به وبسایتهای هدف و جزییات دیگر چیزی منتشر نشده است.
سوءاستفاده از Google Ads
طبق بررسی های صورت گرفته مشخص شده است که کمپین های بازاریابی از طریق Google AdWords اغلب برای تبلیغ این وب سایت های مخرب به مخاطبان بیشتر، مورد استفاده قرار می گیرند.
تبلیغ کننده ها می توانند صفحات خود را در جستجوی Google از طریق Google AdWords تبلیغ کرده و در بالای لیست نتایج جستجو قرار بگیرند.
همچنین وبسایت های رسمی از یک پروژه اغلب بین تبلیغاتی که در ابتدای لیست هستند، گم می شوند. چنین تبلیغاتی در صورت استفاده از مرورگری که تبلیغات در آن مسدود نشده است، بیشتر نمایش داده می شوند.
معمولا کاربران به سمت کلیک روی آنها هدایت می شوند زیرا که بسیار شبیه به نتایج جستجوی واقعی هستند.
Google کمپینهایی که حاوی وبسایت های مخرب بوده اند را شناسایی و بلاک کرده و تبلیغات آنها را نیز حذف نموده است. به این ترتیب مهاجمان باید برای دور زدن بررسی خودکار Google از ترفندی استفاده کنند که بتوانند به هدف خود برسند. با کلیک بر روی ad مهاجم می تواند قربانی را به یک سایت غیرآلوده ولی غیرمرتبط هدایت کرده و در مرحله بعدی از طریق آن وبسایت واسط، کاربر را به وبسایت جعلی موردنظر خود هدایت کند.
سایت های معتبر مختلفی وجود دارد که سایت های اشتراک فایل و Code-hosting بوده و امکان بارگزاری با فرمت های ZIP و MSI دارند مثل:
GitHub
Dropbox
Discord’s CDN
این روش باعث می شود که برخی از آنتی ویروسهای مورد استفاده کاربران، فایلهای آلوده را شناسایی نکنند.
در طول نصب نرم افزار قانونی با توجه به آنچه کاربر دانلود کرده است، بدافزار به عنوان بخشی از پکیج خواهد بود و به صورت مخفیانه و بی سر و صدا نصب می شود.
تشخیص این موضوع که آیا نتایج یک جستجو قابل اعتماد بوده یا خیر، کار دشواری است زیرا نتایج جعلی و اصلی بسیار شبیه به هم هستند.
استفاده از یک مرورگر با قابلیت Ad-blocker یکی از راههای موثر در بلاک کردن چنین کمپین هایی می باشد چرا که باعث می شود نتایج جستجو فیلتر شده و تبلیغات از نتایج اصلی جدا شود.
یک راه دیگر این است که آدرس های سایتهایی که به آنها زیاد مراجعه می کنید را بوکمارک کرده و زمانی که به آنها برای دانلود یا آپدیت نرم افزاری نیاز دارید، مستقیما روی آنها کلیک کنید.
