به گزارش کارگروه شبکههای اجتماعی سایبربان؛ هکرها با فریب نتایج جستجوی گوگل، کاربران را به دانلود برنامههای مخربی ترغیب کردند که ظاهراً سیگنال، واتساپ و کروم بودند.
به گفته کارشناسان، حمله جدیدی شناسایی شده که با جا زدن خود به عنوان ارائهدهندگان نرمافزار معتبر، کاربران ناآگاه را طعمه قرار میدهد.
محققان آزمایشگاههای «FortiGuard» اعلام کردند که عوامل تهدید با افزونههای سئو (SEO) و دامنههای ثبتشده مشابه، الگوریتمهای جستجو را بازی میدهند. قربانیان پس از ورود به وبسایت، فریب میخورند تا نصبکنندههای تروجاندار را دانلود کنند. در میان پلتفرمهای مورد سوءاستفاده، برندهای شناختهشدهای مانند موارد زیر وجود دارند:
• سیگنال
• واتساپ
• دیپل (Deepl)
• کروم
• تلگرام
• لاین
• ارائهدهنده ویپیان
• WPS Office
وبسایتهای کلاهبردار چندین خانواده بدافزار را ارائه میدهند، که مهمترین آنها «Hiddengh0st» و نوع جدیدی از «Winos» است. مهاجمان اجزای مخرب را در بستههای نصبکننده قرار میدهند که به نظر میرسد برنامههای واقعی را ارائه میدهند.
پس از راهاندازی، نصبکننده DLLهای مخرب را در دایرکتوریهای مخفی قرار میدهد، امتیازات مدیریتی را به دست میآورد و توابعی را اجرا میکند که برای جلوگیری از شناسایی طراحی شدهاند. این بدافزار مهاجمان را قادر میسازد تا:
• اطلاعات دقیق سیستم و قربانی را جمعآوری کنند.
• ابزارهای آنتیویروس و امنیتی را بشمارند.
• کلیدهای فشرده شده و دادههای کلیپبورد را ثبت کنند.
• عناوین پنجرههای پیشزمینه و فعالیت صفحه نمایش را ضبط کنند.
• افزونههای اضافی را برای نظارت و کنترل بیشتر بارگذاری کنند.
پلاگینهای ارائه شده توسط این بدافزار همچنین نشان میدهند که مهاجمان میتوانند به طور بالقوه ارتباطات تلگرام را رهگیری کنند.
مسمومیت سئو یک خطر جدی است
این کمپین به افزایش مسمومیت سئو کمک میکند، تکنیکی که شامل دستکاری موتورهای جستجو برای قرار دادن سایتهای جعلی در نتایج برتر است. با این تکنیک حمله، حتی کاربران هوشیار که به رتبهبندیهای جستجوی به ظاهر قابل اعتماد پایبند هستند، ممکن است غافلگیر شوند.
طبق گزارش محققان، این کمپین در درجه اول کاربران چینی زبان را هدف قرار داده است.
محققان آزمایشگاههای FortiGuard نوشتند:
«نصبکنندهها حاوی برنامه قانونی و بار داده مخرب بودند و متوجه شدن آلودگی را برای کاربران دشوار میکردند. حتی نتایج جستجوی با رتبه بالا نیز به این روش مورد استفاده قرار میگرفتند که بر اهمیت بررسی دقیق نامهای دامنه قبل از دانلود نرمافزار تأکید میکند.»
تحقیقات قبلی سیسکو تالوس (Cisco Talos) چندین کمپین مسمومیت سئو را شناسایی کرده که در آن مهاجمان از برنامههای محبوب هوش مصنوعی برای فریب قربانیان خود استفاده میکردند. چندین باند باجافزار، نرمافزارهای مخرب خود را با پلتفرمهایی مانند چتجیپیتی یا «InVideo» پنهان کردهاند.
یک کمپین کلاهبرداری دیگر از پیپال، اَپل، بانک آمریکا (Bank of America)، نتفلیکس و مایکروسافت سوءاستفاده کرد. مجرمان سایبری تبلیغات حمایتشده را در گوگل خریداری و وانمود کردند که یک برند بزرگ هستند. این تبلیغات قربانیان را به وبسایتهای جعلی هدایت میکرد، جایی که از آنها خواسته میشد بدافزار را دانلود کنند.
