نفوذگران بدافزار Kovter را از طریق مرورگر جعلی و به‌روزرسانی‌های فلش توزیع می‌کنند

کارشناسان امنیتی از پروف‌پوینت یک عامل توزیع به‌نام گروه KovCoreG را کشف کردند که بدافزار Kovter را با استفاده از به‌روزرسانی‌های فلش و مرورگر جعلی منتشر می‌کند. در بدافزار Kovter که در پویش‌های تقلبی تبلیغاتی استفاده می‌شود، قربانیان به سادگی با کلیک کردن روی تبلیغات برخط آلوده شده و موجب درآمدزایی برای وب‌گاه‌هایی که میزبان این تبلیغات هستند می‌شوند.

 

حتی با وجود این‌که فعالیت بسته‌ی بهره‌برداری در طول سال گذشته به شدت کم شده، توزیع بدافزار با استفاده از تبلیغات یک کسب‌وکار سودآور برای کلاه‌برداران باقی مانده است. کلاه‌برداران تبلیغات مخرب را در PornHub به کار می‌گیرند تا کاربران را به یک وب‌گاه تقلبی هدایت کنند که یک به‌روزرسانی فوری را به کاربران نمایش می‌دهد، این پیام‌ها بسته به مرورگر بازدیدکننده متفاوت هستند. برای کاربران اینترنت اکسپلور و مایکروسافت ‌اج صفحه‌ای بارگذاری می‌شود که از آن‌ها درخواست می‌شود یک به‌روزرسانی فلش بارگیری کنند، در حالی‌که از کاربران کروم و فایرفاکس درخواست می‌شود تا یک به‌روزرسانی مرورگر بارگیری کنند.

 

پروف‌پوینت توضیح داد: «محققان ما اخیرا یک حمله‌ی گسترده‌ی توزیع بدافزار با تبلیغات توسط گروه KovCoreG را کشف کردند، این حمله شناخته‌شده‌ترین راه برای توزیع بدافزار تبلیغات اینترنتی جعلی Kovter است.» این حمله برای بیش از یک سال فعال بود و در جاهای دیگر ادامه دارد، اما این روش آلودگی خاص زمانی که اپراتور وب‌گاه و شبکه‌ی تبلیغات اینترنتی از این فعالیت مطلع شدند، خاتمه یافت. پرونده‌هایی که توسط وب‌گاه‌های آسیب‌دیده به کار گرفته شده‌اند برای کاربران کروم و فایرفاکس جاوا اسکریپت بودند، درحالی‌که مرورگرهای اینترنت اکسپلور و مایکروسافت اج پرونده‌های HTA را به کار برده‌اند.

 

به نظر می‌رسد که تاثیرات این توزیع بدافزار توسط تبلیغات با موقعیت جغرافیایی و ارائه‌دهندگان خدمات اینترنتی مرتبط هستند و گروه KovCoreG بیشتر روی کشورهای آمریکا، انگلیس، کانادا و استرالیا تمرکز کرده است. پروف‌پوینت توضیح می‌دهد: «این پویش از Pornhub و Traffic Junky نیز سوءاستفاده کرده است. لازم به ذکر است که Traffic Junky و PornHub پس از آگاهی سریعا برای مقابله با این تهدید اقدام کردند.» هر دو شبکه‌ی تبلیغات Pornhub و Traffic Junky پس از این‌که توسط پروف‌پوینت مطلع شدند، به تبلیغات مخرب خاتمه دادند.

 

گروه KovCoreG مانند دیگر عاملان توزیع بدافزار با تبلیغات، اخیرا روی هدایت کاربران به وب‌گاه‌های مهندسی اجتماعی تمرکز کرده‌اند، به جای این‌که کاربران را به وب‌گاه‌های دارای بسته‌های بهره‌برداری هدایت کنند. پروف‌پوینت نتیجه گرفت: «بار دیگر مشاهده می‌کنیم که مهاجمان از عامل انسانی بهره‌ می‌گیرند حتی اگر ابزارها و رویکردها برای یک حوزه‌ی کاری در حملات بهره‌برداری سنتی کمتر موثر باشند. با این‌که بار داده در این مورد یک بدافزار تبلیغات جعلی است، به راحتی می‌تواند حاوی باج‌افزار، سارق اطلاعات یا هر نوع بدافزار دیگری باشد.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید