توزیع بدافزار و افزونه‌های مخرب از طریق Google Alerts

مهاجمان به تازگی با ارسال اطلاع‌رسانی‌های جعلی در خصوص نشت اطلاعات (Data Breach) شرکت‌های بزرگ در حال توزیع بدافزار و افزونه مخرب بر روی دستگاه قربانیان خود هستند. آنها با استفاده از تکنیک‌های سئو، ابزار Google Sites و صفحات هرزنامه‌ای کاربران را به موقعیت‌های خطرناک هدایت می‌کنند.

این کلاهبرداران با ایجاد صفحات اینترنتی و بهره‌گیری از سایت‌های تسخیر شده و درج محتوایی در آنها که از ترکیب کلیدواژه‌های مرتبط با نشت داده‌ها و نام برخی شرکت‌های سرشناس تشکیل شده کاربران را به این صفحات مخرب هدایت می‌کنند.

در جریان این کارزارهای مخرب، Google Alerts نیز ناخواسته موجب اطلاع‌رسانی‌های دروغین به کاربران می‌شود. Google Alerts سامانه‌ای است که وظیفه آن خبر دادن به کاربر در خصوص پیدا شدن نتایج جدید بر اساس کلیدواژه‌هایی است که پیش‌تر توسط او در این سامانه تعریف شده است.

تصویر زیر نمونه‌ای از اطلاع‌رسانی‌های ارسالی توسط Google Alerts را که بسیاری از آنها به صفحاتی با محتوای جعلی این مهاجمان اشاره دارند نمایش می‌دهد.

به گزارش شرکت مهندسی شبکه گستر، از طریق اطلاع‌رسانی‌های مذکور کاربر به صفحات مورد نظر کلاهبرداران هدایت شده و در آنجا با وعده‌ها و پیشنهادهای فریبنده، قربانی، ناآگاهانه اقدام به نصب افزونه‌های مخرب یا بدفزار بر روی دستگاه خود می‌کند.

تنها در یکی از سایت‌های هک شده پوشه‌ای حاوی حدود دو هزار فایل متنی (Text File) که نمونه‌ای از آن در تصویر قابل مشاهده است تزریق شده تا کلیدواژه‌های درج شده در فایل‌ها، کاربران را در جریان جستجوها به سمت آنها هدایت کنند. 

بغیر از یک فایل که تاریخ آخرین ویرایش آن به 9 مرداد 1397 باز می‌گردد سایر فایل ها در 22 خرداد سال جاری یا تاریخ‌هایی پس از آن ویرایش شده‌اند.

اطلاعات مندرج در این متون از منابع عمومی کپی شده و دامنه‌ای گسترده از موضوعات امنیتی و رخدادهای نشت اطلاعات را پوشش می‌دهند.

در نتیجه این اقدامات زمانی که کاربر موضوعی خاص را جتسجو می‌کند نشانی سایت‌های در کنترل مهاجمان در صدر سایر نتایج ظاهر شده و بنابراین احتمال آنکه کاربر بر روی لینک آن کلیک کند بیشتر می‌شود.

همانطور که اشاره شد علاوه بر از استفاده از سایت‌های هک شده، کلاهبرداران، خود نیز صفحاتی را ساخته و در دسترس قرار داده‌اند. در ساخت و طراحی بسیاری از آنها از ابزار Google Sites استفاده شده است.

 آن چه که کاربر در زمان مراجعه مستقیم به این صفحات با آن مواجه می‌شود با آن چیزی که در زمان ورود از طریق Google Alerts یا موتورهای جستجوگر ظاهر می گردد متفاوت است.

فراخوانی مستقیم صفحات مذکور ماهیت مخرب آنها را حداقل برای کاربران غیرحرفه‌ای برملا نمی‌کند. در عوض آن چه کاربر با آن روبرو می‌شود خطای page not found یا متنی در خصوص نشت داده‌هاست که به‌طور خاص برای ترفیع موقعیت صفحه در نتایج جستجو طراحی شده است.

حال آن که در صورت کلیک بر روی یک لینک Google با تغییر مسیرهای پی‌درپی قربانی به مقصد نهایی مهاجمان هدایت می‌شود. چیزی که در نهایت نمایش می‌یابد بسته به موقعیت جغرافیایی کاربر متفاوت است.

در بسیاری از آنها به‌روزرسانی‌های جعلی Adobe Flash به چشم می‌خورد. در این تکنیک مهندسی اجتماعی از کاربر خواسته می‌شود تا برای مشاهده کلیپ یا مطلبی جذاب آخرین نسخه از Flash Player را با کلیک بر روی دگمه یا لینک نمایش داده شده دریافت کند؛ اما در عمل با این اقدام کاربر افزونه‌ای مخرب یا بدافزار بر روی دستگاه نصب می‌شود.

در مواردی نیز با پیشنهاد وسوسه‌انگیز، کاربر تشویق به وارد کردن اطلاعات شخصی خود در پنجره‌هایی دروغین می‌شود.

به‌طور معمول، افزونه‌ها می‌توانند صفحات فراخوانی شده در مرورگر کاربر را خوانده و حتی به محتوای آن دست‌درازی کنند. در انباره‌های رسمی تایید شده توسط سازندگان مرورگر با اعمال کنترل‌ها و نظارت‌های امنیتی از مخرب نبودن افزونه های به اشتراک گذاشته شده تا حدودی اطمینان حاصل می‌شود؛ اما در این حملات کاربر ناآگاه ناخواسته با دست خود افزونه مخرب را بدون هر گونه واسطه نصب می‌کند.

داده‌های جمع‌آوری شده گنجینه‌ای از اطلاعات با ارزش برای اجرای حملات هدفمند محسوب می شود.

علاوه بر استفاده از ضدویروس و ضدهرزنامه قدرتمند و به‌روز، آموزش کاربران در پرهیز از اجرای فایل‌های مشکوک و عدم کلیک بر روی لینک‌های ناآشنا نقشی اساسی در ایمن‌سازی سازمان از گزند این نوع تهدیدات دارد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *