ترفند تبلیغاتی با استفاده از Meta Quest

مقدمه

یک کمپین جدید کاربران را که به دنبال اپلیکیشن Meta Quest (که قبلاً با نام Oculus شناخته می‌شد) برای ویندوز هستند، به دانلود خانواده جدیدی از نرم‌افزارهای تبلیغاتی به نام Ads Exhaust فریب می‌دهد.

نحوه کار کمپین

بر اساس تحلیل‌های شرکت امنیت سایبری eSentire، این نرم‌افزار تبلیغاتی قادر است از دستگاه‌های آلوده عکس بگیرد و با شبیه‌سازی فشردن کلیدها با مرورگرها تعامل داشته باشد. این قابلیت‌ها به آن اجازه می‌دهد تا به طور خودکار بر روی تبلیغات کلیک کند یا مرورگر را به آدرس‌های خاصی هدایت کند و برای اپراتورهای خود درآمدزایی کند.

زنجیره آلودگی

آلودگی اولیه شامل نمایش یک وب‌سایت جعلی به نام “oculus-app[.]com” در نتایج جستجوی گوگل با استفاده از تکنیک‌های بهینه‌سازی موتور جستجو (SEO) است. کاربران ناآگاه ترغیب می‌شوند که یک آرشیو ZIP به نام “oculus-app.EXE.zip” را دانلود کنند که شامل یک اسکریپت دسته‌ای ویندوز است.

این اسکریپت دسته‌ای طراحی شده تا یک اسکریپت دسته‌ای دوم را از یک سرور فرماندهی و کنترل (C2) دریافت کند که به نوبه خود دستوری برای دریافت یک فایل دسته‌ای دیگر دارد. همچنین وظایف زمانبندی شده‌ای را روی دستگاه ایجاد می‌کند تا اسکریپت‌های دسته‌ای را در زمان‌های مختلف اجرا کند.

اقدامات پس از آلودگی

در مرحله بعد، برنامه اصلی روی میزبان آلوده دانلود می‌شود، در حالی که همزمان فایل‌های Visual Basic Script (VBS) و اسکریپت‌های PowerShell اضافی برای جمع‌آوری اطلاعات IP و سیستم، گرفتن عکس از صفحه و ارسال داده‌ها به یک سرور راه دور دانلود می‌شود.

فعالیت‌های مخرب AdsExhaust

اسکریپت PowerShell به نام AdsExhaust مرورگر Edge مایکروسافت را بررسی می‌کند و زمان آخرین ورودی کاربر را تعیین می‌کند. اگر Edge در حال اجرا باشد و سیستم بیشتر از 9 دقیقه بدون استفاده باشد، اسکریپت می‌تواند کلیک‌های جعلی ایجاد کند، تب‌های جدید باز کند و به آدرس‌های خاصی هدایت شود.

پنهان‌کاری و اهداف مخرب

این رفتار برای تحریک عناصر مانند تبلیغات در صفحه وب طراحی شده است. AdsExhaust می‌تواند کلیک‌های تصادفی را در مختصات خاصی از صفحه ایجاد کند. این نرم‌افزار تبلیغاتی قادر است مرورگر باز شده را در صورت تشخیص حرکت ماوس یا تعامل کاربر ببندد و یک پوشش ایجاد کند تا فعالیت‌های خود را از قربانی پنهان کند. همچنین به دنبال کلمه “Sponsored” در تب فعلی مرورگر Edge می‌گردد تا بر روی تبلیغ کلیک کند و درآمد تبلیغاتی را افزایش دهد.

نتیجه‌گیری

این نرم‌افزار تبلیغاتی تهدیدی است که به طرز هوشمندانه‌ای تعاملات کاربر را دستکاری می‌کند و فعالیت‌های خود را برای تولید درآمد غیرمجاز پنهان می‌کند. این شامل تکنیک‌های متعددی از جمله دریافت کد مخرب از سرور C2، شبیه‌سازی فشردن کلیدها، گرفتن عکس از صفحه و ایجاد پوشش‌هایی است که در حالی که در فعالیت‌های مضر مشغول است، ناشناخته بماند.

کمپین‌های مشابه

این حمله مشابه وب‌سایت‌های جعلی پشتیبانی فناوری است که از نتایج جستجو استفاده می‌کنند تا Hijack Loader (معروف به IDAT Loader) را ارائه دهند که در نهایت منجر به عفونت Vidar Stealer می‌شود. همچنین از ویدیوهای یوتیوب برای تبلیغ سایت جعلی و استفاده از ربات‌ها برای ارسال نظرات جعلی استفاده می‌کنند تا به کاربران یک تصور غلط از قانونی بودن بدهند.

این موارد نشان می‌دهد که چقدر تکنیک‌های مهندسی اجتماعی موثر هستند و کاربران باید درباره صحت راه‌حل‌هایی که به صورت آنلاین پیدا می‌کنند، محتاط باشند.

حملات سایبری اخیر

افشای این موضوع به دنبال یک کمپین مضر به نام malspam targeting می‌آید که کاربران ایتالیایی را با تله‌های آرشیو ZIP با مضمون فاکتور هدف قرار داده است تا تروجان دسترسی از راه دور مبتنی بر جاوا به نام Adwind (معروف به AlienSpy، Frutas، jRAT، JSocket، Sockrat و Unrecom) را ارائه دهد.

با استخراج، کاربر با فایل‌های HTML مانند INVOICE.html یا DOCUMENT.html روبرو می‌شود که منجر به فایل‌های مخرب .jar می‌شوند. Payload نهایی که دریافت می‌شود، تروجان دسترسی از راه دور Adwind است که به مهاجمان اجازه کنترل دستگاه آلوده و جمع‌آوری و ارسال داده‌های محرمانه را می‌دهد.