کمک تبلیغات گوگل به استقرار بدافزار از طریق مرورگر جعلی Brave
اخبار داغ فناوری اطلاعات و امنیت شبکه
عاملان تهدید از تبلیغات گوگل برای خرید اسلات تبلیغات در موتور جستجوی گوگل برای تبلیغ وب سایت های جعلی مرورگر Brave استفاده کردند تا بدافزارها را به صورت فایل دانلودی مرورگر ارائه کنند.
به گفته یکی از توسعه دهندگان مرورگر Brave، جاناتان سامپسون، در پی سواستفاده عاملان تهدید برای بهره گیری از تبلیغات گوگل برای توزیع بدافزاز سرقت اطلاعات، وب سایت جعلی مرورگر Brave در لیست اولویت نتایج جستجوی گوگل قرار گرفت.
عاملان تهدید با ثبت دامنه xn-brav-yva[.]com سعی کردند بدافزار را به بازدیدکنندگان این سایت منتقل کنند. این دامنه از Punycode برای جعل آدرس مرورگر Brave با عنوان bravė[.]com استفاده می کردند.
این سایت تنها با افزودن یک آوا بر روی حرف "e" که تنها تفاوت آن بود، اقدام به این جعل کردند، در حالی که بقیه دامنه به طرز عجیبی شبیه وب سایت اصلی Brave بود. بنابراین، کاربران با توجه بهه اینکه هر دو سایت شبیه وب سایت معتبر Brave ظاهر می شدند، برای تشخیص آیتم جعلی به دردسر و مشکل می انداختند.
وب سایت جعلی ارائه بدافزار
هنگامی که کاربر روی گزینه Download Brave کلیک می کند، بدافزار معروف به SectopRat (معروف به 1xxbot ،Asatafar یا ArechClient) به جای مرورگر در سیستم کاربر بارگیری و دانلود می شود.
با توجه به اینکه شرکت امنیت سایبری G Data این بدافزار را در سال 2019 کشف کرده است، مستندات بیان میکنند که SectopRat می تواند دسکتاپ موجود کاربر را استریم کرده و دسکتاپ نامرئی دیگری را برای استفاده مهاجمان ایجاد نماید.
از زمان انتشار این بدافزار، توسعه دهندگان آن ویژگی های جدید زیادی را به آن افزوده اند. ویژگی هایی مانند ارتباطات رمزگذاری شده با سرورهای C2 و سرقت سابقه مرورگرهای فایرفاکس و گوگل کروم.
چگونه سایت جعلی مرورگر Brave در نتایج جستجوی Google قرار گرفت؟
بر اساس گزارش Ars Technica، برای جلب بازدیدکنندگان از این نسخه جعلی وب سایت Brave، عاملان تهدید کننده بنر تبلیغاتی ای را در گوگل خریداری کردند تا هنگامی کاربران به دنبال نسخه قابل دانلود مرورگر میگشتند، این گزینه ظاهر شود، وگرنه تبلیغات به خودی خود خطرناک نبوده اند.
با این حال، آنها از mckelveytees[.]com و نه از brave[.]com آمده و دارای گواهی معتبر TLS هستند. اگر کاربری روی هر یک از این تبلیغات کلیک میکرد، آنها کاربر را قبل از ورود به وب سایت جعلی مرورگر Brave، به دامنه های مختلف هدایت میکرد.
دامنه های Punycode
سامپسون درباره مرورگر Brave و این دامنه گفت که وب سایت های جعلی کاربران را مجبور به دانلود یک فایل ایمیج ISO با حجم 303 مگابایتی شامل تنها یک فایل اجرایی کرده است.
از سوی دیگر، مارتین گوتن از شرکت امنیت سایبری Silent Push درباره این موضوع تحقیق کرد تا بررسی کند که آیا عوامل تهدید کننده پشت این کمپین سایر سایت های جعلی و دامنه های Punycode را برای استفاده از آنها در آینده، ثبت کرده اند یا خیر. وی دریافت که سایت های جعلی برای Telegram (تلگرام)، مرورگر Tor و سایر پلتفرم های محبوب نیز ثبت شده اند.
با این وجود، تنها راه جلوگیری از قربانی شدن دردام این بدافزارها، بررسی آدرس های وب سایتی است که از آن استفاده می کنید. قطعا این کار مستلزم دقت، زمان و دانش کافی است، اما این تنها راه منطقی برای تشخیص وب سایت های جعلی ای میباشد که ممکن است بدافزارها را در دستگاه شما بارگیری و مستقر نمایند.
برچسب ها: Asatafar, SectopRat, Google Ad, Browser, Brave, Punycode, تور, Tor, TLS, cybersecurity, فایرفاکس, Firefox, malware, مرورگر کروم, Chrome, Telegram, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری