زاد المتسللون من إساءة استخدامهم لمنصة إعلانات Google لاستهداف المستخدمين الذين يبحثون عن منتجات برمجية شهيرة ، وتشمل منتجات البرامج التي يتم تقليدها ، Grammarly و Slack و Dashlane و Audacity و ITorrent و AnyDesk و Libre Office و Teamviewer و Thunderbird وتقارير Bleeping Computer. .
وذكر التقرير أن “الجهات الفاعلة في التهديد تستنسخ المواقع الرسمية للمشاريع المذكورة أعلاه وتوزع نسخًا فيروسية من البرنامج عندما ينقر المستخدمون على زر التنزيل”. تساعد منصة إعلانات Google المعلنين في الترويج لصفحات في بحث Google.
أوضحت Guardio Labs أن المستخدمين الذين يبحثون عن منتجات برمجية أصلية في متصفح بدون أداة حظر إعلانات نشطة هم أكثر عرضة للنقر على الروابط الضارة “لأنها تشبه إلى حد كبير نتيجة بحث حقيقية”: “في اللحظة التي يزور فيها الزائرون المستهدفون هذه المواقع” المخفية ” ، يوجهه الخادم على الفور إلى صفحة الخيال ومن هناك إلى الحمولة الخبيثة.
إذا اكتشفت Google أن الموقع الذي تزوره ضارًا ، فستقوم بحظر الحملة وإزالة الإعلانات. يتم تنزيل حزمة البرامج الضارة ، التي تأتي على شكل ZIP أو MSI ، من مشاركة الملفات ذات السمعة الطيبة وخدمات استضافة الرموز مثل GitHub أو Dropbox أو CDN’s Discord.
يقول التقرير: “هذا يضمن أن أي برنامج مكافحة فيروسات يعمل على جهاز الضحية لن يعترض على التنزيل” ، وقد حددت Guardio Labs مؤخرًا حملة قام فيها أحد الفاعلين بإغراء المستخدمين بنسخة حصان طروادة من Grammarly ، وتم تجميع البرامج الضارة . مع برنامج شرعي.