نصب کننده های جعلی قربانیان را فریب می دهند تا بدافزار نصب کنند
یک بار دیگر هکرها در حال سوء استفاده از Google Ads برای ارائه بدافزار (در برگه جدید باز می شود) - این بار و هدف قرار دادن اهداف چینی زبان ساکن در جنوب شرقی و شرق آسیا یافت شدند.
کارشناسان امنیت سایبری در ESET دریافتند که عوامل تهدید ناشناس چندین صفحه فرود مخرب ایجاد کردهاند که همگی جعل برنامههای اصلی هستند، از جمله برخی از آنها که در چین در دسترس نیستند، از جمله فایرفاکس، واتساپ، سیگنال، اسکایپ و تلگرام.
صفحات فرود همه بر روی یک سرور میزبانی می شوند که برنامه ها را نیز میزبانی می کند. اما هنگام دانلود محموله، قربانیان هم نرمافزار قانونی و هم FatalRAT را دریافت میکنند، یک تروجان دسترسی از راه دور که به عوامل تهدید امکان کنترل بر نقطه پایانی هدف را میدهد.
FatalRAT
FatalRAT قادر به انجام انواع کارهای ناخوشایند است - ثبت ضربه های کلید، سرقت داده های ذخیره شده در مرورگرها، و دانلود و اجرای برنامه های اضافی. محققان گفتند که این نسخه از تروجان حداقل از آگوست 2022 مورد استفاده قرار گرفته است، اما نسخه های قدیمی تر حتی قبل از آن - در ماه مه - در حال استفاده بودند.
برای توزیع بدافزار، مهاجمان از Google Ads سوء استفاده کردند، به این معنی که وقتی شخصی هر یک از برنامه های ذکر شده در بالا را در موتور جستجوی معروف جستجو می کند، صفحات فرود مخرب را در صفحات نتایج جستجو بسیار بالا می برد.
محققان نتوانستند نتایج جستجو را بازتولید کنند اما ادعا میکنند که هکرها احتمالاً درگیر ربودن URL بودند:
Matías Porolli، محقق ESET، گفت: «اگرچه ما نتوانستیم چنین نتایج جستجویی را بازتولید کنیم، معتقدیم که تبلیغات فقط به کاربران در منطقه مورد نظر ارائه شده است. وی گفت : «از آنجایی که بسیاری از نامهای دامنهای که مهاجمان برای وبسایتهای خود ثبت کردهاند، بسیار شبیه به دامنههای قانونی هستند، این امکان نیز وجود دارد که مهاجمان برای جذب قربانیان احتمالی به وبسایتهای خود به ربودن URL متکی باشند».
محققان گفتند که پایان بازی هکرها نیز ناشناخته است و حدس می زنند که آنها فقط می توانند اعتبارنامه ها را دنبال کنند تا آنها را برای سود بفروشند.
برچسبها
|
ارسال نظر