تم تحديد حملة برمجيات خبيثة جديدة وخطيرة أطلق عليها اسم “النيتروجين”. يستخدم إعلانات جوجل و بينغ لنشر البرامج الضارة وبرامج الفدية على نطاق أوسع.
جوجل و بينغ ضحيتان لحملة جديدة تهدف إلى نشر البرمجيات الخبيثة من خلال الإعلانات على محركي البحث. الهدف من هذه البرامج الضارة هو الوصول الأولي إلى شبكات الشركات، مما يسمح للقراصنة بسرقة البيانات وإجراء التجسس الإلكتروني ونشر برامج الفدية.
تستهدف الحملة بشكل أساسي شركات التكنولوجيا والمنظمات غير الربحية في أمريكا الشمالية، متخفية في صورة تطبيقات برمجية شهيرة مثل AnyDesk و Cisco AnyConnect VPN و TreeSize Free و WinSCP. عندما يبحث المستخدمون عن هذه التطبيقات على جوجل أو بينغ، فإنهم يرون إعلانات تروج لمزايا هذه البرامج، لكنها في الحقيقة ما هي إلاّ خدع.
اقرأ أيضًا – جوجل تقر بأن مصنعي هواتف أندرويد بطيئون في إصلاح مشكلات الأمان
إعلانات جوجل تقع ضحية للبرامج الضارة
إذا نقر المستخدمون على مثل هذه الإعلانات، فسيتم إعادة توجيههم إلى مواقع ويب مزيفة تشبه إلى حد كبير مواقع تنزيل البرامج الشرعية. يقومون بتنزيل مثبتات ISO المصابة هناك والتي تحتوي على ملف DLL ضار يسمى “msi.dll” دون علمهم.
هذا DLL الخبيث، المعروف باسم “NitrogenInstaller”، هو المسؤول عن تثبيت التطبيق الموعود به لتجنب الشك وحزمة Python الخبيثة. ثم يقوم بإنشاء مفتاح تنفيذ في السجل، مما يضمن بقاء البرامج الضارة في نظام الضحية.
يقوم مكون Python الخاص بالبرامج الضارة بإنشاء اتصال مع خادم الأوامر والتحكم الخاص بالجهة المهددة، مما يسمح له بالسيطرة على نظام الضحية. يمكن للمهاجمين بعد ذلك تنفيذ العديد من الإجراءات الضارة، مثل تثبيت برامج سرقة المعلومات عن بُعد وحتى برامج الفدية الضارة.
يستخدم المتسللون البرامج الضارة لتثبيت برامج الفدية
الهدف النهائي للمهاجمين ليس واضحًا تمامًا، لكن سلسلة العدوى تشير إلى أنهم يعدون أنظمة مخترقة لنشر برامج الفدية. هنا، الضحايا هم في النهاية هم الذين ينتهي بهم الأمر بالاختراق أجهزتهم الخاصة. في كثير من الحالات، يتجاهلون التحذيرات من برامج مكافحة الفيروسات الخاصة بهم، معتبرين إياها كإيجابيات كاذبة، لأنهم يعتقدون أنهم وصلوا إلى الصفحة من خلال محرك البحث الموثوق بهم.
يعتقد بعض مستخدمي الإنترنت اعتقادًا راسخًا أن نظام التصفية الخاص بالشركة يعمل بشكل جيد وأنه من المستحيل المضي في حملة خبيثة، لكن ينتهي الأمر ببعض المتسللين في بعض الأحيان إلى إيجاد ثغرات في ضوابط عمالقة التكنولوجيا.
اقرأ أيضاً – جوجل تمنح أخيراً لمشتركي Google One مزيدًا من التحكم في VPN
ليست هذه هي المرة الأولى التي يتم فيها استخدام إعلانات جوجل لنشر البرامج الضارة، حيث أطلق مجرمو الإنترنت حملة مماثلة العام الماضي. تم انتحال شخصية Grammarly و MSI Afterburner و Slack لخداع الأشخاص لتثبيت IceID و Raccoon Stealer، وهما من البرامج الضارة ولصوص المعلومات المعروفين.
أفضل طريقة للبقاء آمنًا هي أن تكون دائمًا في حالة تأهب، حتى عند البحث في جوجل و بينغ، أو النقر فوق الإعلانات من شبكات الإعلانات المعروفة. للحماية من هذا النوع من الهجوم، يُنصح المستخدمون بتجنب النقر فوق نتائج محرك البحث عند تنزيل البرنامج. من الأفضل تنزيل البرنامج بالانتقال مباشرة إلى الموقع الرسمي للمطور.
بينما لا تزال جوجل تعاني من بعض الحملات الخبيثة على محرك البحث الخاص بها، فمن المفترض أن تصبح قريبًا أكثر ندرة على نظام أندرويد، وذلك بفضل التغيير الذي يطرأ في متجر بلاي.
