حذر مكتب التحقيقات الفيدرالي الأمريكي FBI من أن جهات التهديد الفاعلة تستخدم إعلانات محركات البحث للترويج لمواقع الويب التي تُوزِّع برامج انتزاع الفدية الخبيثة، أو تسرق بيانات اعتماد تسجيل الدخول إلى المؤسسات المالية وبورصات العملات المشفرة.
وفي التقرير الذي صدر يوم الأربعاء، قالت وكالة إنفاذ القانون الفيدرالية إن جهات التهديد الفاعلة تشتري إعلانات تنتحل هوية مؤسسات تجارية أو خدمات مشروعة. وتظهر هذه الإعلانات في الجزء العلوي من صفحات نتائج البحث، وترتبط بالمواقع التي تبدو مطابقة للمواقع المنُتحَلة.
وجاء في تقرير مكتب التحقيقات الفيدرالي: “لمّا يبحث المستخدم عن تلك المؤسسة التجارية أو الخدمة، فإن تلك الإعلانات تظهر في الجزء العلوي لنتائج البحث مع الحد الأدنى من التمييز بين ما هو إعلان ونتيجة بحث فعلية. وترتبط هذه الإعلانات بصفحة ويب تبدو مطابقة لصفحة الويب الرسمية للنشاط التجاري المنتحل”.
وحين البحث عن برنامج، فإن الإعلانات سترتبط بمواقع الويب التي تحوي رابط تنزيل إلى برنامج يحمل اسم التطبيق المنتحل.
ويحذر تقرير FBI أيضًا من الإعلانات التي تروّج لمواقع التصيد الاحتيالي التي تحاكي منصات التمويل، وعلى نحو أكثر تحديدًا، منصات تبادل العملات المشفرة التي تدعو الزوار لإدخال بيانات اعتماد حساباتهم.
وفور إدخال بيانات الاعتماد على مواقع التصيد الاحتيالي هذه، فإن جهات التهديد الفاعلة تسرقها لاستخدامها في سرقة الأموال أو بيعها إلى جهات تهديد أخرى.
يُشار إلى أن موقع BleepingComputer ساعد حديثًا في الكشف عن حملة ضخمة من الهجمات المعروفة بهجمات الانتفاع من أخطاء تهجية المواقع، حيث استُخدم أكثر من 200 موقع ويب تنتحل هوية مشاريع البرامج، ومنصات تبادل العملات المشفرة، ومنصات المحافظ الرقمية لنشر برامج ضارة لنظام ويندوز التابع لشركة مايكروسوفت ونظام أندرويد التابع لشركة أندرويد.
وفي وقت سابق من العام الحالي، استخدم موقع ينتحل هوية برنامج تحرير الصور GIMP إعلانات خبيثة لتثبيت برنامج سرقة المعلومات Vidar على أجهزة الضحايا. وفي حين أن هذه الإعلانات بدت وكأنها تروج لموقع gimp.org الفعلي، إلا أنها أعادت توجيه المستخدمين إلى موقع مختلف يثبت البرنامج الضار.
وفي حالة أخرى حدثت في شهر آذار/ مارس 2022، أساء مشغلو برنامج السرقة Mars استخدام إعلانات جوجل للترويج لموقع خبيث شبيه بموقع Open Office لنشر برامجهم الضارة.
وفي الآونة الأخيرة، كشفت SANS ISC عن حملة إعلانات خبيثة على محرك البحث جوجل تستهدف تطبيق التحكم بسطح المكتب عن بعد AnyDesk، وقد نشرت الحملة البرنامج الخبيث IcedID بدلًا من برنامج AnyDesk.
وللاحتياط من الوقوع ضحية لمثل هذه الحملات، يُنصح المستخدمين، حين البحث عن شيء ما عبر الإنترنت، بعدم النقر على أول شيء يظهر في نتائج البحث دون التحقق من عنوان URL الخاص به.
وبالنظر إلى أن النتائج القليلة الأولى التي تظهر في الجزء العلوي من نتائج محرك البحث هي إعلانات ترويجية عادةً، فمن الآمن تخطيها والتمرير حتى رؤية نتيجة البحث الرسمية على موقع الويب الخاص بالمشروع التي عادةً لا تكون إعلانًا ترويجيًا.
ويحذر FBI: “في حين أن إعلانات محركات البحث لا تكون ضارة بطبيعتها، إلا أنه من المهم توخي الحذر عند الوصول إلى صفحة ويب من خلال رابط إعلاني”.
وعلاوة على ذلك، فإن فحص الرابط قد يكون مفيدًا في بعض الأحيان فقط، ذلك أنه يمكن لجهات التهديد الفاعلة إنشاء إعلانات تعرض روابط URL مشروعة، ولكنها تعيد توجيه المستخدمين إلى مواقع مستنسخة تحت سيطرة المهاجمين.
ويُوصى المستخدمون أيضًا بالاستفادة من قدرات أدوات منع الإعلانات، التي تعمل على تصفية النتائج الترويجية على محرك جوجل. وإن كان المستخدم يزور موقع ويب بصورة متكررة، فمن المستحسن إضافته إلى الإشارات المرجعية المحفوظة في المتصفح واستخدامها للوصول إليه بدلًا من البحث عنه في كل مرة.