‫ هکرها Notepad ++ سلاح دار را از طریق Google Ads تحویل می دهند

مجرمان سایبری باسوء استفاده از تکنیک های تبلیغاتی مخرب برای هدف قرار دادن ویرایشگر متن Notepad++ که به طور گسترده برای ویندوز استفاده می شود، شناخته شده اند. این می تواند منجر به انتشار باج افزار و بدافزار شود.

در این تلاش‌های بد تبلیغاتی، عوامل تهدید از تبلیغات گوگل بهره می‌برند.

طبق گفته Malwarebytes، به نظر می رسد حداقل برای چند ماه کاملاً از شناسایی فرار کرده است. این در توانایی خود در اثر انگشت کاربران و توزیع محموله های حساس به زمان، منحصر به فرد است.

کمپین های بدافزاری که Notepad++ را هدف قرار می دهند

محققان تبلیغات مخربی را کشف کردند که توسط یک عامل تهدید اما از حساب‌های تبلیغاتی مختلف توزیع شده بود.

اولین مرحله غربالگری زمانی رخ می دهد که کاربر روی یکی از این تبلیغات کلیک کند. این احتمالاً یک بررسی IPاست که VPNها و سایر آدرس های IPجعلی را نادیده می گیرد و یک سایت فریبنده را نمایش می دهد.

با این وجود، کاربران هدف یک نسخه از وب‌سایت اصلی Notepad++ را که در notepadxtreme[.]comمیزبانی می‌شود، مشاهده خواهند کرد.

هنگامی که کاربر روی لینک دانلود کلیک می کند، کد جاوا اسکریپت اثر انگشت سیستم را به عنوان مرحله دوم فیلتر کردن اجرا می کند.

اگرچه بدافزار مورد استفاده در اینجا متفاوت و پیشرفته تر است، اما مشاهده شده است که کمپین های تبلیغاتی مخرب خاصی وجود شبیه سازها یا رایانه های مجازی را بررسی می کنند.

در صورتی که هر یک از تست ها مطابقت نداشته باشند، کاربر به وب سایت رسمی Notepad++ فرستاده می شود. یک شناسه متمایز به هر قربانی بالقوه داده می شود، که آنها را قادر می سازد تا محموله را دانلود کنند.

علاوه بر اینکه هر بارگیری از نظر مدت زمان متمایز و محدود می شود، شناسه منحصر به فرد احتمالاً برای دلایل ردیابی استفاده می شود.

محموله این کمپین تبلیغاتی مخرب اسکریپت a.htaاست. اگر بخواهید فایل را از همان URLدانلود کنید، با خطای 404 مواجه می شود.

محققان گفتند: "ما معتقدیم این بخشی از زیرساخت مخربی است که توسط عوامل تهدید برای دسترسی به ماشین های قربانیان با استفاده از ابزارهایی مانند Cobalt Strikeاستفاده می شود."

توصیه

در نتیجه، طی چند ماه گذشته، افزایشی در دامنه و پیچیدگی تلاش‌های بد تبلیغاتی مشاهده شده است. ردیابی تبلیغات مضر ما را قادر می سازد تا سریعاً عوامل تهدید زیرساخت را شناسایی کرده و به سرعت متوقف کنیم.

پیروی از زنجیره توزیع بدافزار ما را قادر می‌سازد تا روش‌های جدیدی را کشف کنیم که ممکن است برای دور زدن اقدامات امنیتی موجود و به‌روزرسانی شناسایی‌های خود بر این اساس استفاده شود.