home סייבר אבטחת סייבר קמפיין נוזקה פרסומי תוקף חובבי Windows

קמפיין נוזקה פרסומי תוקף חובבי Windows

Nov 14, 2023

This post is also available in: English (אנגלית)

קמפיין זדוני חדש תוקף משתמשים המבקרים בפורטל "Windows Report" נחשף על ידי מומחי אבטחה בחברת הסייבר Malwarebytes. בקמפיין זה, גורמי איום העתיקו אתר חדשות לגיטימי של Windows (מבלי לפגוע באתר עצמו) כדי לגרום למשתמשים תמימים להוריד תוכנות זדוניות למכשירם.

חברת Malwarebytes פרסמה בבלוג שלה כי לרוב המבקרים של אתר מהסוג הזה הם "גיקים" ומנהלי מערכת שמעוניינים לקרוא ביקורות על מחשבים, ללמוד טיפים, ולהוריד תוכנות שירות.

על פי אתר Cybernews, פרסום זדוני ("malvertising") הוא סוג של מתקפת סייבר בה גורמי איום מטמיעים קוד זדוני במודעות פרסומת על מנת להחדיר קוד זדוני ומכשיר המשתמש שנפל בפח. ההשלכות הפוטנציאליות של הקורבנות שלחצו על הקישור או אפילו צפו בו יכולות לנוע בין האטה משמעותית של ביצועי המכשיר ועד לאובדן נתונים או שליטה על המכשיר.

קמפיין זה השתמש במודעות Google כדי לפרסם באופן כוזב את CPU-Z, כלי פופולרי של Windows לפתרון בעיות. המטען כלל אז מתקין עם סקריפט PowerShell זדוני ומעמיס בשם FakeBat.

הגורמים הזדוניים מאחורי הקמפיין הזה התחמקו מגילוי באמצעות טכניקות הסוואה – Malwarebytes מסבירה שמישהו שאינו קורבן מכוון שלוחץ על המודעה יראה בלוג סטנדרטי, בעוד קורבן שלוחץ על הקישור ינותבו לדומיין אחר המחקה את אתר האינטרנט של Windows Report, המשתמש בתוכן מאתר האינטרנט הלגיטימי ונראה כמעט זהה (מלבד כתובת URL שונה).

מומחים ציינו כי ייתכן שגורמי האיום מאחורי הקמפיין בחרו ליצור אתר מדומה שנראה כמו Windows Report משום שתכונות תוכנה רבות מורדות לעתים קרובות מפורטלים כאלה במקום מתוך דף האינטרנט הרשמי שלהם.

נראה כי אירוע זה הוא חלק מקמפיין malvertising גדול יותר שמכוון גם לכלי שירות אחרים כמו Notepad++, Citrix, ו-VNC Viewer. יתר על כן, מודעות זדוניות יכולות אפילו להופיע באתרי אינטרנט מוכרים ואמינים, כמו מקרי עבר בהם הן הופיעו באתרים הרשמיים של הניו-יורק טיימס ו-The Atlantic.