إعلانات خبيثة تنتحل صفة تطبيق Meta Quest لخداع المستخدمين

متابعه مكسي نيوز 

إعلانات خبيثه…..تخدع حملة جديدة المستخدمين الذين يبحثون عن تطبيق Meta Quest (Oculus سابقًا) لنظام التشغيل Windows لتنزيل عائلة جديدة من برامج الإعلانات المتسللة تسمى AdsExhaust.

وقالت شركة الأمن السيبراني eSentire: “إن البرامج الإعلانية قادرة على سرقة لقطات الشاشة من الأجهزة المصابة والتفاعل مع المتصفحات باستخدام ضغطات المفاتيح المحاكاة”. قال في تحليل، مضيفة أنها حددت النشاط في وقت سابق من هذا الشهر.

“تسمح هذه الوظائف له بالنقر تلقائيًا عبر الإعلانات أو إعادة توجيه المتصفح إلى عناوين URL محددة، مما يؤدي إلى توليد إيرادات لمشغلي برامج الإعلانات المتسللة.”

تتضمن سلسلة العدوى الأولية ظهور موقع الويب المزيف (“oculus-app(.)com”) على صفحات نتائج بحث Google باستخدام تقنيات تحسين محركات البحث (SEO)، مما يدفع زوار الموقع المطمئنين إلى تنزيل أرشيف ZIP (“oculus-app. EXE.zip”) الذي يحتوي على برنامج نصي دفعي لنظام التشغيل Windows.

تم تصميم البرنامج النصي الدفعي لجلب برنامج نصي دفعي ثانٍ من خادم الأوامر والتحكم (C2)، والذي بدوره يحتوي على أمر لاسترداد ملف دفعي آخر. كما يقوم أيضًا بإنشاء مهام مجدولة على الجهاز لتشغيل البرامج النصية المجمعة في أوقات مختلفة.

يتبع هذه الخطوة تنزيل التطبيق الشرعي على المضيف المخترق، بينما يتم في نفس الوقت إسقاط ملفات Visual Basic Script (VBS) ونصوص PowerShell الإضافية لجمع معلومات IP والنظام، والتقاط لقطات الشاشة، وتصفية البيانات إلى خادم بعيد ( “us11(.)org/in.php”).

الاستجابة من الخادم هي برنامج AdsExhaust المستند إلى PowerShell والذي يتحقق مما إذا كان متصفح Microsoft Edge قيد التشغيل ويحدد آخر مرة حدث فيها إدخال للمستخدم.

وقال eSentire: “إذا كان Edge قيد التشغيل وكان النظام خاملاً ويتجاوز 9 دقائق، فيمكن للبرنامج النصي إدخال النقرات وفتح علامات تبويب جديدة والانتقال إلى عناوين URL المضمنة في البرنامج النصي”. “ثم يقوم بالتمرير بشكل عشوائي لأعلى ولأسفل الصفحة المفتوحة.”

يُشتبه في أن هذا السلوك يهدف إلى تشغيل عناصر مثل الإعلانات على صفحة الويب، لا سيما بالنظر إلى أن AdsExhaust يقوم بنقرات عشوائية ضمن إحداثيات محددة على الشاشة.

يمكن لبرامج الإعلانات المتسللة أيضًا إغلاق المتصفح المفتوح في حالة اكتشاف حركة الماوس أو تفاعل المستخدم، وإنشاء تراكب لإخفاء أنشطتها للضحية، والبحث عن كلمة “برعاية” في علامة تبويب متصفح Edge المفتوحة حاليًا من أجل النقر فوق الإعلان بهدف تضخيم إيرادات الإعلانات.

علاوة على ذلك، فهو مجهز لجلب قائمة من الكلمات الرئيسية من خادم بعيد وإجراء عمليات بحث Google عن تلك الكلمات الرئيسية عن طريق تشغيل جلسات متصفح Edge عبر أمر Start-Process PowerShell.

وأشارت الشركة الكندية إلى أن “AdsExhaust عبارة عن تهديد لبرامج إعلانية يتلاعب بذكاء بتفاعلات المستخدم ويخفي أنشطته لتوليد إيرادات غير مصرح بها”.

“إنه يحتوي على تقنيات متعددة، مثل استرداد التعليمات البرمجية الضارة من خادم C2، ومحاكاة ضغطات المفاتيح، والتقاط لقطات الشاشة، وإنشاء تراكبات لتظل غير مكتشفة أثناء الانخراط في أنشطة ضارة.”

ويأتي هذا التطوير في الوقت الذي يتم فيه استخدام مواقع دعم تكنولوجيا المعلومات المزيفة المماثلة التي ظهرت عبر نتائج البحث لتقديم Hijack Loader (المعروف أيضًا باسم IDAT Loader)، مما يؤدي في النهاية إلى الإصابة بفيروس Vidar Stealer.

ما يجعل الهجوم بارزًا هو أن الجهات الفاعلة في مجال التهديد تستفيد أيضًا من مقاطع فيديو YouTube للإعلان عن الموقع المزيف واستخدام الروبوتات لنشر تعليقات احتيالية، مما يمنحها مظهرًا شرعيًا للمستخدمين الذين يبحثون عن حلول لمعالجة خطأ في تحديث Windows (رمز الخطأ 0x80070643) ).

“وهذا يسلط الضوء على فعالية تكتيكات الهندسة الاجتماعية وحاجة المستخدمين إلى توخي الحذر بشأن صحة الحلول التي يجدونها عبر الإنترنت،” eSentire قال.

ويأتي هذا الكشف أيضًا في أعقاب حملة malpsam التي تستهدف المستخدمين في إيطاليا من خلال أرشيف ZIP تحت عنوان الفاتورة لتقديم حصان طروادة للوصول عن بعد المستند إلى Java والمسمى يتراجع (المعروف أيضًا باسم AlienSpy وFrutas وjRAT وJSocket وSockrat وUnrecom).

“عند الاستخراج، يتم تزويد المستخدم بملفات .HTML مثل INVOICE.html أو DOCUMENT.html التي تؤدي إلى ملفات .jar ضارة”، حسبما ذكرت شركة Symantec المملوكة لشركة Broadcom. قال.

“الحمولة النهائية التي تم إسقاطها هي يتراجع حصان طروادة للوصول عن بعد (RAT) الذي يسمح للمهاجمين بالتحكم في نقطة النهاية المخترقة بالإضافة إلى جمع البيانات السرية والتسلل.”