من أجل نشر البرامج الضارة للمستخدمين الذين يستخدمون محرك بحث جوجل Google للبحث عن مواقع البرامج المشهورة، كان مشغلو وصُناع البرامج الضارة يسيئون استخدام النظام الأساسي الإعلاني لشركة #جوجل والمسمى إعلانات جوجل Google Ads بشكل متزايد.
جرامرلي Grammarly والذي هو عبارة عن أداة للتصحيح النحوي وتحسين الكتابة باللغة الإنجليزية تعتمد على الحوسبة السحابية ويُستخدم فيها تقنيات الذكاء الصناعي. و سلاك Slack والذي هو الآخر يعمل كبرنامج اتصالات للأعمال والشركات يمكن من خلالهُ التواصل بين الشركات و يوتورنت Torrent الغني عن التعريف برنامج يستخدمه الأشخاص لتحميل ملفات تورينت و أوه بي أس OBS الذي يمكن استخدامه لتصوير شاشة الحاسوب و أني ديسك AnyDesk الخاص بالتحكم بالأجهزة عن بعد كل هذه البرامج تُعد من أشهر البرامج المملوكة لشركات تقنية مرموقة في الوقت ذاته تُعد أبرز البرامج التي تم انتحالها في هذه الحملات. بالإضافة إلى برامج أخرى مثل تيم فيوار Teamviewe أيضاً الذي يُستخدم للاتصال والتحكم بالأجهزة عن بعد وحزمة المكتب ليبر أوفيس ومتصفح الويب بريف Brave والعديد من التطبيقات الأخرى.
ملاحظة :
كل الشركات المذكورة ليست مسؤولة عن هذا الأمر سوى شركات البرامج التي تم استغلال شهرتها أو شركات الإعلانات مثل جوجل أدس وذلك لأن أنظمتها تتمتع بدرجة عالية من الحماية ولكن أساليب القراصنة في التلاعب بالأشخاص تجعل الضحية هو المسؤول الوحيد في المقام الأول بسبب قلة وعيه الأمني والتهاون بالتقليل من مخاطر القراصنة المبنية على التسلل من خلال رغبات الضحية.
 | |
|
في هذه الحملات التي طالت المستخدمين يقوم المهاجمون باستنساخ المواقع الرسمية لأي برنامج سوى من المذكورة أعلاه أم لا المهم يقوم بتلك حركة بحيث عندما ينقر المستخدمون على زر التنزيل ليتم توزيع نسخ من البرامج الضارة. تحمل العديد من المنتجات نسخ من البرامج الضارة في هذه الحملة تم تحقنها على أجهز الضحايا. تجدر الإشارة إلى أن التقرير تحدث عن عدد من الإصدارات تحمل متغيرات خطيرة مشهورة بكونها تمثل خطر على بيانات المستخدم، مثل Vidar Stealer وهو مشهور بِأَنَّهُ يعرف ما يقوم به فهو يقوم بسرقة المعلومات ومتغيرات Raccoon Stealer ومحمل البرامج الضارة IcedID وهذه مجرد أمثلة قليلة على البرامج الضارة التي تم تنزيلها على أنظمة الضحايا بهذه الطريقة.
كما وتم الكشف عن حملة هجوم إملائي ضخمة استخدمت أكثر من 200 دومين أو نطاق يمكنك تسميته بأي ما تريد لانتحال شخصية البرامج الشهيرة في تقريرين تم تقديمهما من شركتين متخصصتين في أمن المعلومات وهما تريند مايكرو Trend Micro وهي شركة يابانية متعددة الجنسيات تعمل في مجال توفير برامج الحماية والأمان عبر الإنترنت مقرها طوكيو وشركة Guardio Labs الأسرئلية والتي كذلك هي الأخرى التي تعمل في مجال أمان الكمبيوتر ومقرها يقع في تل أبيب. من خلال حملات إعلانات جوجل يتم الترويج لمواقع الويب الضارة في هذه الحملة لجمهور أوسع.
من المهم ملاحظة أن النظام الأساسي لبرنامج إعلانات جوجل يمكّن المعلنين من الترويج لصفحات على محرك بحث جوجل. نتيجة لذلك، غالباً ما تظهر هذه الصفحات في النتائج الأولى قبل الموقع الرسمي للبرنامج في قائمة النتائج كإعلانات نتيجة لذلك، سيكون المستخدم المسكين ضحية لأصحاب تلك البرامج الكاذبة حيث سيرى المستخدمون الذين يبحثون عن برنامج شرعي على متصفح لا يحتوي على مانع إعلانات ذات فاعلية الصفحة المروجة أولاً ومن المرجح بنسبة كبيرة تصل حتى 99% أن يتم النقر عليه لأنه يشبه نتيجة البحث الأصلية للبرنامج الذي يبحث عنهُ الضحية.
مع ذلك جوجل تقوم بكل ما هو متاح لها للتصدي لمثل لتلك الحملات وذلك أمر مفروغ منه بالتأكيد فعلى مر السنين شهدت عملاقة التكنولوجيا الأمريكية جوجل أمور مشابهة وتتمكن من القضاء عليها بالإضافة وتحسين دوماً جودة تقديم الإعلانات بما يتوافق مع إرضاء العميل والمستخدمين حيث هو معروف بأنه في حالة مثل هذه ستتم إزالة الإعلان وسيتم حظر الحملة نهائياً والحساب الإعلاني للمعلن الصادر منهُ تلك الحملة في حالة إذا وجدت Google أن الصفحة المقصودة ضارة. ونتيجة لذلك، سيحتاج المهاجمون إلى استخدام خدعة في هذه الحالة للالتفاف على عمليات التحقق الآلية من جوجل.
تقول شركة Guardio وشركة Trend Micro إن الخدعة التي تم استخدامها في هذه الحملة أتت عن طريق نقل الضحايا الذين ينقرون على الإعلان إلى موقع ويب كلين نظيف وأمن وغير ذي صلة أنشأه المهاجمون ولم يتم الاشتباه فيه أو حتى اكتشافه أنه يمثل أي تهدد ولكن بعد ذلك عندما يقوم الشخص بالدخول إلى الموقع يقوم الموقع بعد فترة وجيزة بإعادة توجيههم وإرسالهم إلى موقع ويب ضار يتظاهر بأنه البرنامج الأصلي ولا يظهر لدى الضحية أي شك كونه سوف يشاهد نفس الصفحة السابقة للبرنامج وليس هناك ما يدعو للريبة.
 |
| صورة تشرح عملية الاستغلال التي يقوم بها الهكر من خلال إيهام الضحية |
علاوة على ذلك، كما توضح Guardio Labs في التقرير الصادر منها، يرسل الخادم على الفور المستخدمين المستهدفين إلى موقع الويب الاحتيالي ومن هناك إلى الحمولة الضارة عندما يزورون هذه المواقع المخفية. ثم يتم تنزيل الملف المحقون أو الحمولة من خدمات مشاركة الملفات واستضافة التعليمات البرمجية المشهورة مثل جيت هاب GitHub أو دروب بوكس Dropbox أو Discord CDN. ويمكن أن يكون الحمولة بإشكال مختلفة فأنه أمر سهل بالنسبة للهواة فقد يأتيك على صيغة ملف مضغوط zip أو rar أو قد يتمثل لك بملف قابل للتنفيذ MSI وغيرها حيث إن هذا يضمن أن برنامج مكافحة الفيروسات الخاص بالضحية لن يعترض التنزيل.
وفقاً لـ Guardio Labs، تم تنزيل البرنامج الضار Raccoon Stealer على أجهزة كمبيوتر المستخدمين خلال حملة تم مُلاحظتها في نوفمبر من العام السابق. تم تثبيت البرنامج الضار على جهاز الضحية دون أن يتم اكتشافه لأنه مضمن في برنامج شرعي وكان ذلك البرنامج المحقون هو برنامج تصحيح القواعد النحوية Grammarly.
وفقاً لتقرير Trend Micro، الذي ركز على حملة IcedID فإن أصحاب تلك الحملة بالأصح مشغل ذلك الفيروس قاموا بالعبث بنظام التوجيه والترافيك حيث جاء في التقرير يسيء ممثلو التهديد استخدام نظام توجيه حركة المرور Keitaro Traffic Direction System لتحديد ما إذا كان زائر الموقع باحثاً أمنياً أي مختص في أمن المعلومات أم ضحية عارضة قبل أن يقومون بإعادة التوجيه. والغريب حقاً منذ عام 2019 لوحظ وجود نمط من الانتهاكات في نظام توجيه حركة المرور هذا.
نظراً لأنها تتضمن جميع مؤشرات الشرعية فقد تكون نتائج البحث التي يتم الترويج لها مضللة. فقد أصدر مكتب التحقيقات الفيدرالي مؤخراً تحذيراً بشأن هذا النوع من الحملات الإعلانية، ونصح مستخدمي الإنترنت بتوخي الحذر الشديد. يعد تنشيط مانع الإعلانات في متصفح الويب الخاص بك، والذي يقوم بتصفية النتائج التي يروج لها محرك جوجل وغيرها من المحركات والشركات الإعلانية طريقة جيدة لتجنب هذه الحملات. إجراء مزيد من إجراءات الأمان هو التمرير لأسفل لعرض المجال الرسمي للبرنامج. يُقترح أن يقوم المستخدم بإضافة موقع ويب معين إلى إشاراته المرجعية إذا قام بزيارته بشكل متكرر حتى يتمكن من العودة إليه في وقت لاحق.
في الحقيقة الأساليب التي يتبعها القراصنة لا يمكن للشركات التقنية والأمنية فعل الكثير لها بسبب كون عملية الاختراق في الوقت الحالي دائماً ما يكون فيها الضحية نفسه السبب الرئيسي فيها وذلك لقلة الوعي الأمني. ويعد حجم الملف الكبير بشكل غير طبيعي والأخطاء الإملائية الواضحة لاسم المثبت علامات تحذير شائعة على أنه ضار بالإضافة إلى طريقة التأكد من الرابط دائماً كن على حس عالي من التركيز في هذه النقطة. لأنها من أهم النقاط التي فعلياً سوف تعمل على تجنيبك مخاطر الوقوع ضحية لمثل تلك البرمجيات الخبيثة فالنظر إلى الرابط سوف يجعلك تشك في صحة موقع الويب الذي تتواجد فيه.