أصدر خبراء الأمن السيبراني تحذيرا عاجلا لمستخدمي جوجل بشأن هجوم قد يؤدي إلى الحصول على معلوماتهم الشخصية.
اشترى قراصنة مساحة إعلانية ممولة مباشرة من الشركة، متنكرين في هيئة موقع Google Authenticator الأصلي لشركة التكنولوجيا العملاقة والذي يوفر للمستخدمين حماية أمان كلمة المرور المكونة من عاملين.
استخدمت حملة الاحتيال ما يشبه عنوان URL شرعيًا لـ Google، ولكن عند إلقاء نظرة فاحصة عليه، كان من الممكن الكشف عن مصطلحات لا تدرجها الشركة عادةً.
قد يتمكن المستخدمون الذين قاموا بتنزيل الرابط الاحتيالي من الوصول إلى تفاصيل حساباتهم المصرفية وعنوانهم وعنوان IP الشخصي.
ويحث الخبراء الضحايا الآن على قم على الفور بتنزيل وتشغيل برنامج مكافحة الفيروسات، وتغيير جميع كلمات المرور وحذف أي ملفات مؤقتة.
قام المتسللون بشراء مساحة إعلانية برعاية مباشرة من الشركة، متظاهرين بأنهم موقع Google Authenticator حقيقي يوفر للمستخدمين حماية أمان كلمة المرور ثنائية العوامل
أظهرت الحملة الإعلانية الجديدة، التي اكتشفتها شركة Malwarebytes لمكافحة البرامج الضارة، رابط URL لموقع Google.com والذي كان في السابق بمثابة علامة على ضمان شرعية الموقع.
وكان الخبراء قد نصحوا المستخدمين في السابق بالنقر على الروابط الإعلانية التي تحتوي على نطاق جوجل فقط، ولكن يبدو أن المتسللين قد أدركوا هذه النصيحة من خلال استخدام معدِّلات النص وتقنية التمويه لتقليد المواقع الرسمية.
أدى الإعلان الخبيث إلى دفع المستخدمين إلى تنزيل نسخ مصادق عليها مقنعة تم تثبيتها بواسطة حملة توزيع برامج ضارة تسمى DeerStealer والتي ادعت أن المطور، لاري مار، تم التحقق منه بواسطة Google.
وقال جيروم سيجورا، الباحث في شركة Malwarebytes الذي كشف الهجوم الإلكتروني، في منشور على مدونته: “الحقيقة هي أن لاري مار لا علاقة له بجوجل ومن المرجح أن يكون حسابًا مزيفًا”.
“يمكننا متابعة ما يحدث عند النقر على الإعلان من خلال مراقبة حركة المرور على الويب. ونرى عددًا من عمليات إعادة التوجيه عبر المجالات الوسيطة التي يتحكم فيها المهاجم، قبل الوصول إلى موقع مزيف لـ Authenticator.”
وبحسب موقع Malwarebytes، رأى المستخدمون الذين بحثوا عن منتجات Google على المتصفح الإعلان المُدرج على أنه مُمول، مما دفعهم إلى النقر فوقه دون قلق.
ثم تم إعادة توجيههم عدة مرات حتى وصلوا إلى موقع مزيف مستضاف على منصة المطورين GitHub.
ووجد الباحثون أيضًا أنه بعد النقر على زر “تنزيل”، يتلقى المستخدمون نافذة منبثقة تسمى Authenticator.exe تقوم بتنزيل البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم.
يقدم Google Authenticator خدمات مصادقة متعددة العوامل تضيف طبقة ثانية من الحماية لحسابات Google من خلال طلب كلمة مرور لمرة واحدة تعتمد على الوقت بالإضافة إلى كلمة المرور العادية للمستخدم.
وفقًا لـ Statista، قام ما يقرب من أربعة ملايين شخص بتنزيل خدمة المصادقة الشرعية من Google منذ أكتوبر 2022.
وقالت جوجل لموقع DailyMail.com إن الجهات الفاعلة في مجال التهديد، مثل DeerStealer، أنشأت آلاف الحسابات للتهرب من الاكتشاف وقامت في الوقت نفسه بتعديل عنوان URL ونص الموقع واستخدمت برامج التمويه لإظهار مواقع الويب والمعلومات المختلفة لمراجعي جوجل عما يراه المستخدمون.
إذا تم تنزيل أداة المصادقة الاحتيالية بنجاح، فسيكون لدى DeerStealer إمكانية الوصول إلى معلوماتك الحساسة بما في ذلك العناوين وكلمات المرور والمعلومات المصرفية وسرقة الهوية وعنوان IP الخاص بالضحية.
وقال سيجورا: “يجب أن نلاحظ أن Google Authenticator هي أداة مصادقة متعددة العوامل معروفة وموثوقة، لذلك هناك بعض السخرية في تعرض الضحايا المحتملين للخطر أثناء محاولتهم تحسين وضعهم الأمني”.
'نوصي بتجنب النقر على الإعلانات لتنزيل أي نوع من البرامج وبدلاً من ذلك زيارة المستودعات الرسمية مباشرةً.'
بعد النقر على زر “تنزيل”، تلقى المستخدمون نافذة منبثقة تسمى Authenticator.exe والتي قامت بتنزيل البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم
تم التحقق من البرامج الضارة من قبل مراجعي Google الذين لم يحددوها على أنها رابط احتيالي
ولم تحدد شركة جوجل موعد نشر البرنامج الضار لأول مرة أو عدد الأشخاص المتأثرين به.
وقالت الشركة لموقع DailyMail.com إن رابط المصادقة المدعوم تم إزالته في 30 يوليو بعد أن أخطرتهم شركة Malwarebytes لمكافحة البرامج الضارة بالنشاط الاحتيالي.
وقال متحدث باسم جوجل “نحن نحظر الإعلانات التي تحاول التحايل على تطبيقنا للقوانين من خلال إخفاء هوية المعلن لخداع المستخدمين وتوزيع البرامج الضارة”.
“عندما نحدد الإعلانات التي تنتهك سياساتنا، نقوم بإزالتها وتعليق حساب المعلن المرتبط بها في أسرع وقت ممكن، كما فعلنا في هذه الحالة.”
ومع ذلك، فإن أولئك الذين قاموا بتنزيل الرابط الاحتيالي قد يكونون معرضين للخطر.
وأضافت جوجل أنها لا تزال تحقق في المشكلة وهي بصدد زيادة أنظمتها الآلية وعدد المراجعين البشريين للمساعدة في تحديد الحملات الضارة وإزالتها.
على الرغم من صعوبة اكتشاف الاختلافات بين رابط DeerStealer الذي يقول بشكل مقنع أنه “هوية المعلن التي تم التحقق منها بواسطة Google”، إلا أن المستخدمين يحتاجون إلى البحث عن عنوان URL المشبوه – chromeweb-authenticators.com – والذي يظهر فقط قبل تنزيل ملف Authenticator.exe.
ومع ذلك، فإن الطريقة المضمونة الوحيدة للمستخدمين لحماية أنفسهم هي عدم النقر على أي روابط دعائية والتمرير لأسفل بدلاً من ذلك للعثور على مصادر ويب شرعية.