استخبارات الخصم

سلسلة إعادة التوجيه: يتم إساءة استخدام خدمات الإعلان من قبل الجهات الفاعلة في مجال التهديد لإعادة توجيه المستخدمين إلى مواقع البرامج الضارة والمراهنة ومواقع البالغين

تقوم الجهات الفاعلة في مجال التهديد بإساءة استخدام خدمات الإعلانات لخدمة البرامج الضارة للمستخدمين وإعادة توجيه حركة المرور إلى مواقع الويب التي تشتري الخدمات منها.

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

تقوم الجهات الفاعلة في مجال التهديد بإساءة استخدام خدمات الإعلانات لخدمة البرامج الضارة للمستخدمين وإعادة توجيه حركة المرور إلى مواقع الويب التي تشتري الخدمات منها. لتجاوز آليات الكشف التي طورتها مواقع الويب هذه للكشف عن المجالات الضارة، تستخدم الجهات الفاعلة في مجال التهديد تقنية تسمى «سلسلة إعادة التوجيه» حيث يتم تقديم المجال الضار في عملية إعادة التوجيه الأخيرة بدلاً من تضمينه في شعار الإعلان المنبثق. على الرغم من أن هذه التقنية بسيطة، إلا أن نطاقها الهائل ينذر بالخطر حيث تمكنت الجهات الفاعلة في مجال التهديد من استخدام شبكة ضخمة من أكثر من 9000 نطاق لفعل الشيء نفسه.

‍

للحماية من الإعلانات الضارة على المواقع الشرعية، قم بتثبيت أدوات حظر الإعلانات والحفاظ على البرامج المحدثة. استخدم مجموعة أمان شاملة، واضبط إعدادات المتصفح، وكن حذرًا من الإعلانات المشبوهة، مع التحقق من عناوين URL قبل النقر. ابق على اطلاع بالتهديدات عبر الإنترنت، واستخدم المكونات الإضافية للنقر للتشغيل، وفكر في VPN لمزيد من الخصوصية.

‍

طريقة العمل

إساءة استخدام خدمات الإعلان

لقد أثبت استخدام الإعلانات كقناة لإيصال البرامج الضارة أنه استراتيجية مربحة للغاية للجهات الفاعلة في مجال التهديد. توفر الطبيعة المتأصلة للإعلانات عبر الإنترنت، المنتشرة عبر الإنترنت، قاعدة مستخدمين واسعة وغير متوقعة كضحايا محتملين. تستغل الجهات الخبيثة الثقة التي يضعها المستخدمون في منصات الإعلانات الشرعية، وتستفيد من مدى الوصول الواسع وتكرار عرض الإعلانات لزيادة تأثيرها إلى أقصى حد. من خلال اختراق شبكات الإعلانات أو تضمين شفرة ضارة في إعلانات تبدو غير ضارة، يمكن للجهات الفاعلة في مجال التهديد تقديم برامج ضارة، بدءًا من أحصنة طروادة إلى برامج الفدية، مباشرةً إلى أجهزة المستخدمين. يوفر هذا النهج وسيلة فعالة من حيث التكلفة للمهاجمين لنشر حمولاتهم الضارة دون الحاجة إلى آليات توزيع معقدة. إما أن تقوم الجهات الفاعلة في مجال التهديد بإنشاء حسابات على منصات الإعلان هذه باستخدام مستندات مزورة. أو في بعض الحالات، يمكنك الحصول على بيانات الاعتماد للحسابات على مواقع الإعلانات المختلفة من برامج infostealer الضارة.

‍

»يتغذى النظام البيئي بأكمله على نفسه وهو عبارة عن دورة كاملة حيث يتم استخدام نفس الحسابات ذات المصادر لتقديم برامج ضارة لسرقة المعلومات وتعريض المزيد من المستخدمين للخطر.»

‍

بعض خدمات الإعلان الشائعة التي يتم إساءة استخدامها من قبل الجهات الفاعلة في مجال التهديد هي:

أدستيرا
إعلانات غنية
إعلانات مثيرة

‍

*ممثلو التهديد يناقشون استخدام خدمات الإعلان لتقديم برامج ضارة على منتدى ويب مظلم*

‍

تسمح معظم خدمات الإعلان بإدخال المجالات إلى جانب الإعلان الذي يتم عرضه والذي بمجرد النقر عليه سيعيد توجيه المستخدم إلى هذا النطاق المحدد. ومع ذلك، فإن إدخال نطاقات ضارة في لافتات الإعلانات هذه يمكن أن يؤدي إلى استخدام الحسابات من قبل الجهات الفاعلة المهددة في القائمة السوداء من قبل منصات الإعلانات. لأن معظمها لديها آليات لمنع المجالات الضارة من أن يتم إدخالها في لافتات الإعلانات. ولتجنب ذلك، تستخدم الجهات الفاعلة في مجال التهديد تقنية تسمى»سلسلة إعادة التوجيه».

سلسلة إعادة التوجيه

بمجرد أن ينقر المستخدم على أي من الإعلانات التي يتم تشغيلها من قبل الجهات الفاعلة في مجال التهديد، يتم نقله إلى نطاق لا يخدم أي نوع من البرامج الضارة ولكنه يعيد توجيه المستخدم إلى النطاق التالي فقط. هذا هو الرابط الأول في السلسلة وقد نسميه»مجال البصمات».

مجال البصمات

يقوم هذا النطاق الأول بتشغيل البرامج النصية على متصفح المستخدم ويكتشف مجموعة متنوعة من الأشياء مثل ما إذا كان المتصفح يعمل في محاكي أو جهاز مستخدم أو منطقة وما إلى ذلك، وبناءً على هذه البيانات ونوع شعار الإعلان الذي نقر عليه المستخدم، فإنه ينشئ ملفًا شخصيًا فريدًا لكل مستخدم ويعين معلمة تسمى «المفتاح». هذا فريد لكل مستخدم ويتم إرسال هذه المعلمة مع طلب الحصول إلى المجال التالي المسمى»نطاق المطابق».

‍

ذا ماتشر دومين

يتلقى «Matcher Domain» بعض المعلمات من «مجال البصمة» وبناءً على ذلك فإنه يقرر موقع الويب الذي سيتم تقديمه أخيرًا للمستخدم. في الواجهة الخلفية، يتخذ هذا القرار استنادًا إلى عوامل مثل الموقع الجغرافي للمستخدم، وتفضيل المستخدم في النقر على الإعلانات، وما إلى ذلك، على سبيل المثال، إذا نقر شخص ما على إعلان متعلق بالتمويل، فمن المرجح أن تتم إعادة توجيهه إلى نطاقات الاحتيال المتعلقة بالتشفير. حتى أن النطاق يكتشف ما إذا كان الطلب يتم عبر VPN أو Tor ثم يقدم للمستخدم نطاقًا ثابتًا أو يعيد توجيهه إلى Google.

‍

*يقوم Matcher Domain باكتشاف VPN الذي يستخدمه المستخدم*

‍

المجال النهائي

هذا هو المجال الضار عمومًا الذي يطلب من المستخدمين تنزيل برنامج معين أو التسجيل على موقع ويب للمراهنة، أو تمكين الإشعارات بحيث يمكن للمستخدم دفع الإعلانات المستمرة إلى سطح المكتب. هذا المجال هو الأخير في السلسلة مثل

*نطاق نهائي ضار يطلب من المستخدم تمكين الإشعارات*

‍

يمكن رؤية نموذج لسلسلة إعادة التوجيه قيد التنفيذ هنا: https://drive.google.com/file/d/1yeLJotDlZJviHKg-T_Gd06DSt5vEl8sk/view?usp=sharing

‍

*نظرة عامة عالية المستوى لسلسلة إعادة التوجيه*

‍

البنية التحتية

ما يثير القلق بشأن هذه الطريقة التي تستخدمها الجهات الفاعلة في التهديد هو الحجم الهائل لبنيتها التحتية. كنا قادرين على تحديد 10 عناوين IP، تمت الإشارة إلى أكثر من 9000 نطاق على كل منها في الثلاثين يومًا الماضية! ولكن نظرًا لأن عناوين IP يتم تدويرها، فإن العدد الفريد هو 9442 نطاقًا. من أجل الحصول على مثل هذا العدد الكبير من أسماء النطاقات، تستخدم الجهات الفاعلة في مجال التهديد نوعًا من الأتمتة أو مواقع الويب المخترقة التي يتم عرضها بالفعل للبيع بكميات كبيرة في العديد من منتديات الويب المظلمة.

IP	ASN
173.233.137.36	AS 7979 ( SERVERS-COM )
173.233.137.44	AS 7979 ( SERVERS-COM )
173.233.137.52	AS 7979 ( SERVERS-COM )
173.233.137.60	AS 7979 ( SERVERS-COM )
173.233.139.164	AS 7979 ( SERVERS-COM )
192.243.59.12	AS 39572 ( DataWeb Global Group B.V. )
192.243.59.13	AS 39572 ( DataWeb Global Group B.V. )
192.243.59.20	AS 39572 ( DataWeb Global Group B.V. )
192.243.61.225	AS 39572 ( DataWeb Global Group B.V. )
192.243.61.227	AS 39572 ( DataWeb Global Group B.V. )

‍

اكتسبت بعض أرقام النظام الذاتي (ASNs) شهرة بسبب ارتباطها بأنشطة التصيد الاحتيالي والبرامج الضارة. غالبًا ما تنبع هذه السمعة من مجموعة متنوعة من العوامل مثل:

تتمثل إحدى المشكلات الشائعة في وجود إجراءات أمنية متساهلة داخل شبكات ASN هذه، مما يجعلها أهدافًا جذابة لمجرمي الإنترنت الذين يستغلون نقاط الضعف ويستضيفون المحتوى الضار. بالإضافة إلى ذلك، تسمح بعض شبكات ASN للمستخدمين بتسجيل الخدمات دون الكشف عن هويتهم، مما يوفر بيئة مواتية للجهات الخبيثة للعمل دون تحديد سهل.
ينتشر مفهوم «الاستضافة المضادة للرصاص»، حيث تتجاهل شبكات ASN المحددة أو مزودي الاستضافة عن قصد الأنشطة غير القانونية، مما يتيح استضافة مواقع التصيد الاحتيالي وتوزيع البرامج الضارة.
يمكن للشبكات المخترقة، سواء بسبب عدم كفاية الأمان أو بيانات الاعتماد المخترقة، تسهيل هذه الأنشطة الضارة دون قصد.
عامل آخر مساهم هو فشل بعض شبكات ASN في الاستجابة السريعة لتقارير إساءة الاستخدام أو اتخاذ إجراءات كافية ضد الأنشطة غير المشروعة على شبكاتها. قد تشير التغييرات السريعة في ملكية ASN أو إدارتها إلى عدم الاستقرار، مما يخلق بيئة يمكن أن تزدهر فيها هجمات التصيد والبرامج الضارة.

‍

فيما يلي بعض شبكات ASN التي تمكنا من تحديدها والمرتبطة بالحملة وتم الإبلاغ عنها بسبب التصيد الاحتيالي والبرامج الضارة وما إلى ذلك::

IP	ASN	Report
173.233.137.36	AS 7979 ( SERVERS-COM )	https://www.malwareurl.com/ns_listing.php?as=AS7979
192.243.59.12	AS 39572 ( DataWeb Global Group B.V. )	https://www.malwareurl.com/ns_listing.php?as=AS39572
103.224.212.210	AS 133618 ( Trellian Pty. Limited )	https://www.malwareurl.com/ns_listing.php?as=AS133618
15.197.172.60	AS 16509 ( AMAZON-02 )	https://www.malwareurl.com/ns_listing.php?as=AS16509
185.196.197.71	AS 39572 ( DataWeb Global Group B.V. )	https://www.malwareurl.com/ns_listing.php?as=AS39572
34.205.242.146	AS 14618 ( AMAZON-AES )	https://www.malwareurl.com/ns_listing.php?as=AS14618
67.227.226.240	AS 32244 ( LIQUIDWEB )	https://www.malwareurl.com/ns_listing.php?as=AS32244

‍

تحليل الكود

أحد برامج جافا سكريبت الضارة المستخدمة بشكل بارز في هذه الحملة هو ملف يسمى»invoke.js». النص مشوش بشكل كبير.

‍

‍

عند إزالة التشويش يمكننا أن نرى أنه يوجد في السطر 10 متغير يسمى 'جهاز كشف الكذب'والتي يتم تعيين قيمة لها من الوظائف المختلفة التي تؤثر على متصفح المستخدم والجهاز.

‍

‍

بعد ذلك، بمجرد التحقق من المستخدم، استنادًا إلى المفتاح، يمكن للبرنامج النصي تقديم طلب HTTP إلى نطاقات أخرى في نفس الحملة، وبهذه الطريقة يمر المستخدم بسلسلة إعادة التوجيه.

‍

عوامل التخفيف

لحماية نفسك من خطر الإعلانات الضارة على المواقع الشرعية، فكّر في تنفيذ استراتيجيات التخفيف التالية:

‍

أدوات حظر الإعلانات: قم بتثبيت ملحقات أو برامج متصفح حظر الإعلانات ذات السمعة الطيبة لتصفية الإعلانات التي قد تكون ضارة. يمكن لهذه الأدوات منع تحميل المحتوى الضار، مما يقلل من مخاطر النقر دون قصد على إعلان مخترق.
حافظ على تحديث البرامج: قم بتحديث نظام التشغيل ومتصفحات الويب وبرامج الأمان بانتظام. غالبًا ما تتضمن تحديثات البرامج تصحيحات للثغرات الأمنية التي قد تستغلها الجهات الفاعلة في مجال التهديد لتقديم برامج ضارة من خلال الإعلانات.
استخدم مجموعة الأمان: استخدم مجموعة أمان شاملة تتضمن ميزات مثل مكافحة البرامج الضارة ومكافحة التصيد الاحتيالي واكتشاف التهديدات في الوقت الفعلي. يمكن أن يضيف هذا طبقة إضافية من الدفاع ضد الإعلانات الضارة.
إعدادات أمان المتصفح: اضبط إعدادات الأمان في متصفحك إلى أعلى مستوى. قم بتكوين الإعدادات لحظر النوافذ المنبثقة وتعطيل التنزيلات التلقائية وتمكين ميزات الأمان المستندة إلى المتصفح التي يمكن أن تساعد في تحديد المحتوى الضار وحظره.
تحذير التمرين والتحقق: كن متشككًا في الإعلانات التي تبدو جيدة جدًا لدرجة يصعب تصديقها أو تستخدم لغة مثيرة. تجنب النقر على الإعلانات المشبوهة، ومرر مؤشر الماوس فوق الروابط لمعاينة عنوان URL المقصود قبل النقر للتحقق من شرعيته.
ثقف نفسك: ابق على اطلاع بالتهديدات والتكتيكات الشائعة عبر الإنترنت التي يستخدمها مجرمو الإنترنت. إن إدراك المخاطر المحتملة يمكن أن يمكّنك من التعرف على الإعلانات الضارة وتجنب التعامل معها.
تمكين ملحقات النقر للتشغيل: قم بتهيئة متصفحك لطلب الإذن قبل تشغيل المكونات الإضافية مثل Flash أو Java. وبهذه الطريقة، لن يتم تنفيذ المحتوى الضار المحتمل دون موافقتك الصريحة.
استخدم شبكة افتراضية خاصة (VPN): يمكن أن يساعد استخدام VPN في إخفاء أنشطتك عبر الإنترنت وإضافة طبقة إضافية من الخصوصية والأمان، مما يقلل من مخاطر الإعلانات الضارة المستهدفة.
النسخ الاحتياطية العادية: قم بعمل نسخة احتياطية من ملفاتك المهمة بانتظام على محرك أقراص خارجي أو خدمة سحابية آمنة. في حالة الإصابة بالبرامج الضارة، يضمن وجود نسخ احتياطية محدثة أنه يمكنك استعادة نظامك دون فقدان البيانات الهامة.
مراقبة نشاط الحساب: قم بمراجعة حساباتك المالية وعبر الإنترنت بانتظام بحثًا عن أي نشاط مشبوه. قد تحاول الإعلانات الضارة خداع المستخدمين لتقديم معلومات حساسة، لذا فإن البقاء يقظًا أمر بالغ الأهمية للاكتشاف المبكر والاستجابة.

المراجع

^#بروتوكول إشارات المرور - ويكيبيديا

فيكاس كوندو

A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.

فيكاس كوندو