كشف هجمات خطيرة تستهدف نظام Windows وتستخدم إعلانات فيسبوك

⬤ اكتشف باحثون أمنيون هجمات اختراق جديدة تستهدف المستخدمين على فيسبوك بالاعتماد على حملات إعلانية مضللة.

⬤ تتم الهجمات عبر إعلانات وهمية تقود الضحايا إلى مواقع ضارة تظهر صفحات تنزيل وهمية، والهدف هو سرقة المعلومات.

⬤ ينصح الخبراء بتجنب الإعلانات المريبة التي تنتشر على التواصل الاجتماعي، وبالأخص تلك التي تعد بأرباح مالية.

اكتشاف جديد لنوع من هجمات الاختراق يعتمد على حملة تسويق مضللة على منصة فيسبوك، ويستهدف المستخدمين الباحثين عن روابط لتحميل أنماط أو نسق لواجهة استخدام نظام Windows لأجهزة الحاسوب، وبرمجيات وألعاب مقرصنة.

خلف هذا الكشف، يقف باحثون أمنيون في شركة Trustwave المتخصصة في الأمن الرقمي. وذلك ضمن تقرير مفصل أشار لاتباع المخادعين نهجاً يعتمد على إنشاء صفحات تحميل مغرية تكون عبارة عن مصيدة لجذب مستخدمي الفيسبوك السذج للنقر على إعلانات ضارة. ويتم تنفيذ ذلك إما عن طريق إنشاء حسابات تجارية جديدة على الفيسبوك أو عن طريق اختطاف حسابات موجودة مسبقاً.

وفقاً للتقرير أيضاً، قام القراصنة وراء جولة الهجمات هذه بعرض آلاف الإعلانات لكل حملة على حدة. ومنها على سبيل المثال، حملة باسم blue-softs تتضمن 8100 إعلان، وأخرى باسم xtaskbar-themes ضمت 4300 إعلان.

يؤدي النقر فوق إحدى هذه الإعلانات الوهمية إلى نقل الضحايا المحتملين إلى مواقع ضارة باستضافة Google Sites أو True Hosting، وتُظهر صفحات تنزيل لأنماط الواجهة أو البرامج المعلن عنها على الفيسبوك. وهي فعلياً تحتوي على زر تنزيل يؤدي عند النقر عليه إلى تنزيل ملف مضغوط (ZIP) يحمل اسماً يطابق المنتج المعلن عنه عبر الإنترنت.

كما هو متوقع، تتضمن تلك الملفات المضغوطة على برنامج SYS01 الضار المشهور بسرقة المعلومات، والذي جرى اكتشافه لأول مرة من قبل شركة الأمن السيبراني Morphisec في العام 2022. ويعمد لتوظيف مجموعة من الملفات التنفيذية (ذات لاحقات .exe)، ومكتبات الارتباط الديناميكي (DLL)، وبرامج نصية عبر واجهة سطر الأوامر PowerShell، وبرامج نصية بلغة PHP، وذلك لتثبيت نفسه وسرقة البيانات من الحاسوب المضيف الذي يعمل بنظام Windows.

يمكن لبرنامج SYS01 سرقة ملفات تعريف الارتباط من المتصفحK إلى جانب أي كلمات مرور مخزنة، بالإضافة لسجل تصفح الضحية. فضلاً عن ذلك، فهو يتضمن أيضاً مهمة يمكنها استغلال ملفات تعريف ارتباط فيسبوك على الجهاز المصاب لاستخراج بيانات من ملف تعريف الضحية، بما في ذلك اسمه، والبريد الإلكتروني، وعيد الميلاد، وغير ذلك الكثير.

ليس ببعيد عن فيسبوك أيضاً، أشار تقرير Trustwave لوجود حملات إعلانية ضارة مماثلة على كل من YouTube، وLinkedIn.

لتجنب الوقوع ضحية لهذه الحملة وغيرها من الحملات المماثلة، فإن أهم شيء يمكنك فعله هو تجنب النقر على الإعلانات. وإن أمكنك، حاول حجب الإعلانات بشكل كامل من الظهور أثناء تصفحك للإنترنت. إذ أثبتت أنها مطية لكثير من حملات الاختيال وهجمات الاختراق التي تستهدف المستخدمين غير الواعين.

إذا ما أخذنا بعين الاعتبار سهولة استحواذ المخترقين على مساحات إعلانية على محركات البحث ومواقع التواصل الاجتماعي كما لو أنهم شركات موثوقة وعالمية، فلا بد من الحذر الشديد حيال أي حملة إعلانية. ولا عجب أن الأمر وصل لتوصية مكتب التحقيقات الفيدرالي الأمريكي (FBI) باستخدام مانع إعلانات عند الولوج للإنترنت.