حملة خبيثة موزعة عبر منصة إعلانية رئيسية في روسيا
اكتشف باحثو شركة «إسيت» ESET حملة تستهدف مستخدمي متصفح ياندكس Yandex عبر نتائج بحث ضارة. و ياندكس غالبا ما يوصف بأنه الثنائي الروسي في محركات البحث عبر الإنترنت مع العملاق جوجل.
تم توجيه المستخدمين الذين بحثوا عن نماذج ومقاطع الفيديو الإرشادية على ياندكس، أكبر محرك بحث باللغة الروسية على الإنترنت، إلى صفحة GitHub التي قدمت لهم أنواعًا مختلفة من البرامج الضارة والخبيثة.
استُهدف المستخدمون الذين يزورون منتديات متخصصة بإعلانات تجذبهم إلى موقع ويب ضار، مثل مستودع GitHub، الذي يقدم برامج خبيثة. وفي جميع الحالات، كانت البرامج الضارة مرتبطة بنقاط وصول للمستخدم للنماذج والقوالب والعقود، والتي تم إعدادها بفخ هجمات حصان طروادة.
وفي تعليق للباحث الأول في البرامج الضارة بشركة «إسيت»، “جان إيان بوتين”، قال: “هؤلاء المستخدمون الذين سعوا إلى تسهيل عملهم انتهى بهم الأمر إلى جعل حياتهم أكثر صعوبة بسبب الأساليب التي تم استخدامها في هذه الحملة”.
وبناءً على إشعار «إسيت»، توقف Yandex.Direct، ذراع الإعلان لعملاق متصفح البحث الإنترنت الروسي عن الدعاية. وتحتوي مستودعات GitHub المستخدمة في حملة البرامج الضارة حاليًا على عدد قليل فقط من الملفات الحميدة. كانت الصفحة المقصودة الموضحة أعلاه لا تزال متوفرة منذ أيام وتخدم الوثائق التي تحتوى على هجمات طروادة.
ونظرًا لحقيقة أن المهاجمين استخدموا GitHub، حيث أن سجل تغيير المستودعات متاحًا للعامة، فمن الممكن معرفة البرامج الضارة التي تم توزيعها في أي وقت. كانت هناك ست مجموعات مختلفة من البرامج الضارة مستضافة على GitHub خلال هذه الحملة. من بينهم اثنان معروفان و هم Buhtrap و RTM ، وكلاهما من أحصنة طروادة المصرفية.
و أضاف “بوتين” : “هذه الحملة مثال واضح على كيفية إساءة استخدام الخدمات الإعلانية المشروعة لتوزيع البرامج الضارة. في حين أن هذه الحملة تستهدف المنظمات الروسية على وجه التحديد، فلا نتفاجأ إذا تم استخدام مثل هذا المخطط للاستفادة من تنفيذ الهجمات عبر الخدمات الإعلانية الغير روسية “.
ويوصي باحثو «إسيت» بأن يتحقق المستخدمون دائمًا من أن المصدر الذي يختارونه لتنزيل البرنامج هو موزع برامج معروف وحسن السمعة لتفادي الوقوع في عملية احتيال كهذه.
