تبلیغات جعلی Google Authenticator منجر به انتشار بدافزار DeerStealer شد!

گوگل اخیرا قربانی پلتفرم تبلیغاتی خود شده است. ماجرا از این قرار است که هکرها توسط این پلتفرم، تبلیغاتی را برای اپلیکیشن جعلی Google Authenticator (یک ابزار احراز هویت چند عاملی) ایجاد کردند تا تحت پوشش آن، بدافزار DeerStealer را توزیع ‎‌کنند.

هکرها در واقع با قرار دادن تبلیغات جعلی برای Google Authenticator در نتایج جستجوی گوگل، اینگونه وانمود کردند که این تبلیغات با دامنه‌های قانونی گوگل مرتبط هستند که این خود باعث ایجاد حس اطمینان کاذب نسبت به آن تبلیغات در بین کاربران شد.

این تبلیغات دارای یک ظاهر متقاعد کننده هستند چرا که google.com و https://www.google.com به عنوان URL نمایش داده‌ می‌شود. بدیهی است که چنین شرایطی نباید توسط یک سازمان شخص ثالث رخ دهد.

هنگامی که یک بازدیدکننده بر روی تبلیغ جعلی کلیک می‌کند، از طریق یک سری تغییر مسیرها هدایت می‌شود و در نهایت به لندینگ پیج chromeweb-authenticators.com می‌رسد که وانمود می‌کند یک پورتال واقعی گوگل است.

محققان ANY.RUN (یک شرکت تجزیه و تحلیل بدافزار) نیز این حملات را زیر نظر گرفتند و اطلاعات بیشتری را در مورد لندینگ پیج هکرها به اشتراک گذاشتند. به گفته تحلیلگران، مهاجمان در این حملات مهندسی اجتماعی، از دامنه‌هایی با نام‌های مشابه مانند authenticcator-descktop[.]com، chromstore-authentificator[.]com و authenticator-gogle[.]com استفاده کرده‌اند.

با کلیک بر روی دکمه Download Authenticator، یک فایل اجرایی امضا شده به نام Authenticator.exe (VirusTotal) که در GitHub میزبانی شده است، دانلود می‌شود. مخزنی که بدافزار در آن قرار دارد authgg نام دارد و متعلق به authe-gogle می‌باشد.

نمونه بدافزار دانلود شده توسط Malwarebytes مورد بررسی قرار گرفت و مشخص شد که توسط Songyuan Meiying Electronic Products Co., Ltd امضا شده است.

یک امضای دیجیتال معتبر تضمین می‌کند که فایل در ویندوز قابل اطمینان است. این شرایط به هکرها امکان میدهد تا راه حل و مکانیزم‌های امنیتی را دور بزنند و بدون اخطار، آن را بر روی دستگاه قربانی اجرا کنند.

بدافزار DeerStealer در نهایت بر روی سیستم کاربر مستقر شده و گواهی‌های اعتبار، داده‌‌های لاگین، کوکی‌ها و سایر اطلاعات ذخیره شده در مرورگر را به سرقت می‌برد.

تبلیغات مخرب، سال‌هاست که پلتفرم جستجوی گوگل را هدف قرار داده است و این استراتژی بسیار موثرِ پنهان سازی URL در حملات مشابه گذشته نیز از جمله برای KeePass، مرورگرArc، یوتیوب و آمازون مشاهده شده است.

با این حال، گوگل همچنان در تشخیص این تبلیغات فریبنده در زمان ایجاد آنها موفق نبوده است. گوگل اعلام کرد که تبلیغ کننده اپلیکیشن جعلی Google Authenticator را مسدود کرده است.

به طور کلی، تلاش‌های گوگل در سال‌های اخیر منجر به حذف ۳.۴ میلیارد آگهی شده و بیش از ۵.۷ میلیارد آگهی را نیز محدود کرده است و بیش از ۵.۶ میلیون حساب تبلیغ ‌کننده را در سال 2023 به حالت تعلیق درآورده است.

به کاربرانی که به دنبال دانلود نرم ‌افزار هستند توصیه می‌شود از کلیک بر روی نتایج ارتقاء یافته در جستجوی گوگل اجتناب کنند و از مسدود کننده تبلیغات و یا بوک مارک (نشانک‌گذاری) آدرس‌های اینترنتی پروژه‌های نرم‌افزاری پرکاربرد استفاده نمایند.

کاربران همچنین می‌بایست پیش از دانلود فایل، اطمینان حاصل کنند کهURLی که در آن هستند با دامنه رسمی پروژه مطابقت دارد و همیشه پیش از اجرای فایل‌های دانلود شده، آنها را توسط یک نرم افزار آنتی ویروس به روزرسانی شده، اسکن کنند.