This post is also available in:
English (אנגלית)
מתקפת סייבר חדשה משתמשת בחיפוש של גוגל להפצת נוזקות שמתחזות לאפליקציות נפוצות כמו WhatsApp, Telegram, Chrome ואחרות. חוקרי אבטחה במעבדות FortiGuard חשפו קמפיין שמבצע מניפולציה על תוצאות של מנועי חיפוש כדי לקדם דפי הורדה מזויפים לראש רשימת התוצאות – ובכך להטעות משתמשים עד להתקנת סוסים טרויאניים.
התוקפים מאחורי הפעולה הזו עושים שימוש משולב בטכניקות SEO (אופטימיזציה למנועי חיפוש) ובדומיינים דומים לאתרים לגיטימיים, כדי לגרום לאתרים הזדוניים להיראות אמינים. כאשר משתמש לוחץ על אחד הקישורים המזויפים הללו, הוא מנותב לדף אינטרנט שמדמה בצורה משכנעת את האתר הרשמי של האפליקציה הידועה. האתר מציע קובץ התקנה שנראה לגיטימי – אך למעשה מכיל רכיב זדוני מוסתר.
האפליקציות שנפלו קורבן לקמפיין כוללות פלטפורמות מסרים (כמו Signal, Telegram, WhatsApp, Line), כלי פרודוקטיביות (WPS Office), אפליקציות תרגום (DeepL), דפדפנים (Chrome) ושירותי VPN. חבילות ההתקנה כוללות לעיתים גם את האפליקציה האמיתית וגם את הנוזקה – כדי להגביר את האמון של המשתמש ולהגדיל את הסיכוי שהקובץ יופעל.
לאחר ההפעלה, ההתקנה מטמיעה בשקט קבצי DLL זדוניים בתיקיות נסתרות, משדרגת הרשאות מערכת ומתחילה לאסוף נתונים מהמחשב. בין היכולות שזוהו: רישום הקשות (keylogging), ניטור לוח העתקה (clipboard), צילום מסך, וזיהוי תוכנות אבטחה מותקנות. גרסאות מסוימות כוללות גם תוספים שמרחיבים את יכולות הריגול – כולל אפשרות ליירט תקשורת ב-Telegram.
משפחות הנוזקות שזוהו בקמפיין כוללות איומים מוכרים כמו Hiddengh0st ווריאנט חדש של Winos, שתיהן מאפשרות גישה מרחוק וניטור ארוך טווח של המערכת הנפגעת.
השיטה הזו – הידועה בשם "הרעלת SEO" מבוססת על הטעיית אלגוריתמים של מנועי חיפוש, כדי לגרום לקישורים זדוניים להופיע בין תוצאות החיפוש הראשונות. מדובר באיום גובר, שכן גם משתמשים זהירים עלולים בטעות להוריד נוזקה מתוך אמונה שהקישור אמין.
על אף שהקמפיין הנוכחי ממוקד בעיקר בדוברי סינית, טכניקות דומות נצפו גם במתקפות רחבות יותר. הממצאים מחזקים את הצורך לוודא את מקור ההורדות ולבדוק היטב את שמות הדומיינים – גם כשמדובר בקישורים שמופיעים בתוצאות חיפוש "מהימנות".
