زاد المتسللون من إساءة استخدام منصة إعلانات Google لاستهداف المستخدمين الذين يبحثون عن منتجات برمجية شهيرة ، ومن بين منتجات البرامج التي يتم تمثيلها ، تقارير Grammarly و Slack و Dashlane و Audacity و ITorrent و AnyDesk و Libre Office و Teamviewer و Thunderbird و Bleeping Computer. .
وذكر التقرير أن “الجهات المسؤولة عن التهديد استنساخ المواقع الرسمية للمشاريع المذكورة أعلاه وتوزيع الإصدارات الفيروسية من البرنامج عندما ينقر المستخدمون على زر التنزيل”. تساعد منصة إعلانات Google المعلنين على الترويج لصفحات على بحث Google.
أوضحت Guardio Labs أن المستخدمين الذين يبحثون عن منتجات برمجية أصلية في متصفح لا يحتوي على مانع إعلانات نشط هم أكثر عرضة للنقر على الروابط الضارة “لأنها تشبه إلى حد كبير نتيجة البحث الفعلية”: “في اللحظة التي يستهدف فيها المستخدمون الزوار يزورون هذه الروابط” المخفية ” مواقع الويب ، يقوم الخادم بإعادة توجيهك على الفور إلى موقع الويب المحتال ومن هناك إلى الحمولة الضارة.
إذا اكتشفت Google أن موقع الويب الذي يزوره ضار ، فسيحظر الحملة ويزيل الإعلانات. يتم تنزيل حزمة البرامج الضارة ، التي تأتي على شكل ZIP أو MSI ، من خدمات مشاركة الملفات واستضافة الرموز الموثوقة مثل GitHub أو Dropbox أو CDN’s Discord.
ذكر التقرير أن “هذا يضمن أن أي برنامج مكافحة فيروسات يعمل على جهاز الضحية لا يعترض على التنزيل” ، ولاحظت Guardio Labs مؤخرًا حملة استدرج فيها أحد المهاجمين المستخدمين بنسخة حصان طروادة من Grammarly ، وتم تجميع البرامج الضارة مع برنامج شرعي.