Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.

مواقعك المُفضلة قد تُعيد توجيهك خلسة إلى برامج ضارة: شركات الإعلانات متورطة في تسهيل ذلك

برامج ضارة مرتبطة بروسيا تختبئ خلف إعلانات حقيقية وإشعارات الدفع

المُلخص:

  • إشعارات الدفع (Push notifications) تُستخدم الآن كأنظمة لتوصيل البرامج الضارة، والمستخدمون يشتركون فيها دون علمهم.
  • مطالبات CAPTCHA المزيفة أصبحت الآن بوابة لعمليات اختطاف المتصفح المستمرة وهجمات التصيد الاحتيالي.
  • مواقع WordPress تقوم بهدوء باختطاف المستخدمين من خلال أوامر DNS غير مرئية وحمولات JavaScript مشتركة.

كشفت تحقيقات حديثة عن تحالف مقلق بين قراصنة WordPress وشركات تكنولوجيا الإعلانات التجارية، مما أدى إلى إنشاء بنية تحتية واسعة لتوزيع البرامج الضارة على نطاق عالمي. هذه الهجمات تستهدف بشكل خاص المواقع التي تستخدم نظام إدارة المحتوى WordPress، مما يجعلها عرضة للاختراق.

ووجد بحث من Infoblox Threat Intel أن جوهر هذه العملية هو VexTrio، وهو نظام لتوزيع حركة المرور (TDS) مسؤول عن إعادة توجيه مستخدمي الويب عبر طبقات من الإعلانات المزيفة وعمليات إعادة التوجيه الخادعة وإشعارات الدفع الاحتيالية. هذا النظام يسمح للقراصنة بالوصول إلى ملايين المستخدمين.

قراصنة WordPress

يزعم التقرير أن العديد من الشركات التجارية، بما في ذلك Los Pollos و Partners House و RichAds، متورطة في هذه الشبكة، وتعمل كوسطاء وممكنين. هذه الشركات تستخدم تقنيات إعلانية متطورة لإخفاء البرامج الضارة.

علاقة Los Pollos وإغلاق فاشل

ربطت Infoblox في البداية شبكة Los Pollos بـ VexTrio عندما تورطت الأولى في حملات تضليل روسية.

وردًا على ذلك، زعمت Los Pollos أنها ستنهي نموذج “تحقيق الدخل من خلال روابط الدفع” الخاص بها.

على الرغم من ذلك، استمر النشاط الخبيث الكامن حيث تحول المهاجمون إلى نظام TDS جديد يُعرف باسم Help، والذي تم ربطه في النهاية بـ VexTrio. هذا التحول يؤكد مرونة الجهات الخبيثة وقدرتها على التكيف مع محاولات تعطيل عملياتها.

مثلت ثغرات WordPress نقطة دخول لحملات برامج ضارة متعددة، حيث قام المهاجمون باختراق آلاف المواقع الإلكترونية، وزرعوا نصوص إعادة توجيه خبيثة. اعتمدت هذه النصوص على سجلات DNS TXT كآلية للقيادة والتحكم، لتحديد إلى أين يتم إرسال زوار الويب. هذا الأسلوب يسمح للمهاجمين بالتحكم في حركة المرور وتوجيهها بشكل خفي.

كشف تحليل لأكثر من 4.5 مليون استجابة DNS بين أغسطس وديسمبر 2024 أنه على الرغم من أن سلالات البرامج الضارة المختلفة بدت منفصلة، إلا أنها تشاركت البنية التحتية والاستضافة وأنماط السلوك التي أدت جميعها إلى VexTrio أو وكلائها، بما في ذلك Help TDS و Disposable TDS. هذا التشابه في البنية التحتية يشير إلى تنسيق مركزي أو مجموعة من الأدوات المشتركة بين مختلف الحملات.

أظهر JavaScript عبر هذه المنصات نفس الوظائف، حيث عطلت عناصر التحكم في تصفح المتصفح، وأجبرت عمليات إعادة التوجيه، وجذبت المستخدمين بمسابقات وهمية. هذه التقنيات تهدف إلى خداع المستخدمين وحملهم على الكشف عن معلومات شخصية أو تنزيل برامج ضارة.

ومن المثير للاهتمام، أن أنظمة TDS هذه مضمنة داخل منصات تكنولوجيا الإعلانات التجارية التي تقدم نفسها على أنها شبكات تابعة شرعية. هذا التضمين يجعل من الصعب اكتشاف الأنشطة الخبيثة وفصلها عن حركة المرور الإعلانية المشروعة.

مقالات ذات صلة

لاحظ الباحثون أن “هذه الشركات حافظت على علاقات حصرية مع ‘الشركات التابعة للناشرين’، وفي هذا السياق، المخترقين، وعرفوا هوياتهم”. هذا يشير إلى تواطؤ محتمل أو إهمال من جانب شركات تكنولوجيا الإعلانات.

ظهرت الإشعارات الفورية كأداة تهديد قوية بشكل خاص. يتم خداع المستخدمين لتشغيل إشعارات المتصفح باستخدام مطالبات CAPTCHA وهمية. هذه التقنية تستغل ثقة المستخدمين في آليات الأمان الشائعة.

يرسل المتسللون بعد ذلك روابط تصيد أو برامج ضارة بعد اشتراك المستخدم، متجاوزين إعدادات جدار الحماية وحتى أفضل برامج مكافحة الفيروسات. هذا التجاوز يجعل من الصعب على المستخدمين حماية أنفسهم من الهجمات.

تقوم بعض الحملات بتوجيه هذه الرسائل من خلال خدمات موثوقة مثل Google Firebase، مما يجعل الاكتشاف أكثر صعوبة. استخدام خدمات شرعية يخفي طبيعة الرسائل الخبيثة ويجعل من الصعب على أنظمة الأمان اكتشافها.

يزيد التداخل بين منصات تكنولوجيا الإعلانات، بما في ذلك BroPush و RichAds و Partners House، من تعقيد تحديد المصدر. هذا التداخل يجعل من الصعب تحديد المسؤولين عن الهجمات ومحاسبتهم.

تشير أنظمة DNS التي تم تكوينها بشكل خاطئ والنصوص المعاد استخدامها إلى خلفية مشتركة، وربما حتى بيئة تطوير مشتركة. هذا يشير إلى أن الجهات الخبيثة تستخدم مجموعة مشتركة من الأدوات والتقنيات.

للتصدي للخطر، يجب على المستخدمين تجنب تشغيل تنبيهات المتصفح المشبوهة، واستخدام الأدوات التي توفر الوصول إلى الشبكة بدون ثقة (ZTNA)، وتوخي الحذر عند استخدام مطالبات CAPTCHA. هذه التدابير يمكن أن تساعد المستخدمين على حماية أنفسهم من الهجمات.

من خلال تحديث WordPress والمراقبة بحثًا عن حالات شاذة في DNS، يمكن لمسؤولي المواقع تقليل احتمالية الاختراق. الصيانة الدورية وتدابير الأمان الاستباقية ضرورية لحماية المواقع الإلكترونية من الهجمات.

ومع ذلك، قد تمتلك شركات تكنولوجيا الإعلانات الرافعة الفعلية والمفتاح لإغلاق هذه العمليات إذا اختارت التصرف. تقع على عاتق شركات تكنولوجيا الإعلانات مسؤولية المساعدة في منع الأنشطة الخبيثة على منصاتها.

 

زر الذهاب إلى الأعلى