يحذر الخبراء من أن المتسللين يخفيون برامج ضارة داخل أنظمة الإعلانات الخاصة بشركة Google، وإليكم ما نعرفه
أصبح مجال إعلانات جوجل غطاءً مثاليًا لسلسلة توصيل البرامج الضارة. أعادت البرامج الضارة بناء صفحات الشركة المزيفة باستخدام شعارات حقيقية تم سحبها مباشرة عبر الإنترنت. تم تشغيل خمس مراحل هجوم بالكامل تقريبًا داخل الذاكرة، دون ترك أي أثر تقريبًا. يحذر باحثو الأمن السيبراني من حملة برامج ضارة تستخدم البنية التحتية لإعلانات Google لإخفاء الأنشطة الضارة. ووجد بحث أجرته Huntress أن العملية تبدأ برسائل بريد إلكتروني غير مرغوب فيها ضارة تحمل مرفقات HTML مصممة لإعادة توجيه المستخدمين نحو سلسلة عدوى ذات طبقات بعناية. لفتت الحملة الانتباه لأن عملية إعادة التوجيه مرت في البداية ad.doubleclick.net، وهو إعلان شرعي مملوك لشركة Google ومجال تتبع موثوق به على نطاق واسع عبر أنظمة الأمان. أحدث مقاطع الفيديو من سلسلة البرامج الضارة تختبئ وراء البنية التحتية الموثوقة. طريقة التوجيه هذه مهمة لأن العديد من بوابات البريد الإلكتروني وأنظمة تصفية الويب نادرًا ما تتعامل مع نطاقات إعلانات Google كوجهات مشبوهة أو يحتمل أن تكون ضارة. لا يحتوي المرفق نفسه تقريبًا على أي محتوى مفيد بخلاف إعادة توجيه مخفية لإعادة توجيه الضحايا نحو بنية تحتية إضافية يتحكم فيها المهاجمون. قد يعجبك بمجرد تفاعل المستخدمين مع الصفحة، تعيد العملية بناء نفسها ديناميكيًا باستخدام البيانات التي تم استخراجها تلقائيًا من عنوان البريد الإلكتروني للمستلم أثناء التنفيذ. إذا قام المستخدم بتنزيل الأرشيف المرفق، تتحول سلسلة العدوى بسرعة من تقنيات الهندسة الاجتماعية إلى تنفيذ البرامج الضارة المخفية داخل Windows. اشترك في النشرة الإخبارية TechRadar Pro للحصول على أهم الأخبار والآراء والميزات والإرشادات التي يحتاجها عملك لتحقيق النجاح! تعتمد الملفات التي تم تنزيلها على JScript وPowerShell وتحميل .NET العاكس والذاكرة الداخلية طرق التنفيذ مصممة لتقليل الاكتشاف. تتجنب البرامج الضارة ترك الملفات التقليدية أثناء تنفيذ عدة مراحل مباشرة داخل الذاكرة النشطة. هذه الحملة قابلة للتصديق لأنها تقطع شوطًا إضافيًا لإنشاء علامة تجارية مخصصة، وسحب شعارات الشركة تلقائيًا من المصادر عبر الإنترنت. ما يجب قراءته بعد ذلك، فهو يجمع أيضًا تفاصيل الموقع ومعلومات التوقيت المحلي، مما يساعد الصفحات الاحتيالية على الظهور بشكل أكثر تصديقًا للمستلمين. يقول الباحثون إن البرامج الضارة التي ركزت بشكل كبير على StealthHuntress حددت تسلسلًا من خمس مراحل يتضمن عمليات إعادة توجيه HTML، ومحملات JScript، والنصوص PowerShell النصية، ومكونات .NET، وأنشطة نشر الحمولة الإضافية المخفية بعد ذلك. تتحقق البرامج الضارة من بيئات تصحيح الأخطاء، وأنظمة وضع الحماية، وأدوات تحليل الطب الشرعي قبل مواصلة تسلسل التنفيذ. إذا اكتشفت هذه الأدوات، فإنه ينهي نشاطه على الفور، وفي بعض الأحيان يجبر الأنظمة المصابة على إعادة التشغيل دون رسائل تحذير إضافية. علاوة على ذلك، تتداخل البرامج الضارة مع مراقبة أمان Windows من خلال تعديلات مستوى واجهة برمجة التطبيقات الأصلية التي تؤثر على أنظمة القياس عن بعد AMSI وETW مباشرة. وتحاول الإخفاء عن طريق حقن تعليمات برمجية ضارة في أدوات مساعدة مشروعة موقعة من Microsoft، بما في ذلك InstallUtil.exe وMSBuild.exe بعد ذلك. وتسمح هذه التقنية للعملية بمزج السلوك الضار داخل عمليات Windows الموثوقة والتي يعتبرها أمان المؤسسة العالمية مشروعة. تعتمد على خدمات DNS الديناميكية ومنافذ الشبكة غير القياسية القادرة على التغيير بسرعة بعد ظهور إجراءات دفاعية مضادة في مكان آخر. كما قامت البرامج الضارة بجمع تفاصيل الأجهزة من الأنظمة المصابة، بما في ذلك معرفات المعالج ومنتجات مكافحة الفيروسات ومعلومات اللوحة الأم وأجهزة الرسومات المصنعة بواسطة Nvidia وAMD. تبدو العملية بأكملها منظمة للوصول غير المصرح به على المدى الطويل لأن آليات الاستمرار تعيد تشغيل العمليات الضارة بشكل متكرر بعد إعادة تشغيل النظام أو أحداث إيقاف التشغيل. لسوء الحظ، لم تحدد Huntress الهدف التشغيلي النهائي بشكل قاطع. ومع ذلك، فإن الهيكل يقترح الاستعدادات لأنشطة التسلل عن بعد واسعة النطاق. اتبع TechRadar على أخبار Google وأضفنا كمصدر مفضل للحصول على أخبار الخبراء ومراجعاتنا وآرائنا في خلاصاتك.
تم النشر: 2026-06-10 22:25:00
مصدر: www.techradar.com
