كشفت شركة الأمن السيبراني Huntress عن حملة ضخمة من الإعلانات الخبيثة التي تستهدف الأفراد في الولايات المتحدة الذين يبحثون عن مستندات ضريبية، حيث تقوم الحملة بتوزيع برامج خبيثة تستخدم تقنية BYOVD لتعطيل أنظمة الحماية.
كيف تعمل حملة الإعلانات الخبيثة؟
بدأت الحملة في يناير 2026 وتستخدم إعلانات Google الممولة لتوجيه الضحايا إلى مواقع ويب مزيفة توزع برمجيات ScreenConnect الضارة. تقول الباحثة Anna Pham من Huntress إن الحملة تستخدم تقنية "BYOVD" لإسقاط برنامج يسمى HwAudKiller يقوم بتعطيل برامج الأمن.
تم تحديد أكثر من 60 جلسة خبيثة مرتبطة بهذه الحملة. ما يميزها هو استخدام خدمات إخفاء تجارية لتجنب الكشف عن طريق برامج مسح الأمان، واستخدام سائق صوت من Huawei غير موثق سابقاً.
مراحل الهجوم
- البحث عن مستندات ضريبية مثل "W2 tax form"
- النقر على إعلانات ممولة في نتائج البحث
- التوجيه لمواقع مزيفة مثل bringetax[.]com
- تحميل برمجيات ScreenConnect الضارة
- إسقاط أداة HwAudKiller لتعطيل برامج الحماية
تقنية الإخفاء المزدوجة
تستخدم الحملة نظام توزيع حركة المرور (TDS) مدعوم بخدمة Adspect التجارية، مما يضمن تقديم صفحة benign لماسحات الأمان وأنظمة مراجعة الإعلانات، بينما يحصل الضحايا الحقيقيون على الحمولة الضارة.
تقول تيكبامين إن هذه التقنية تعمل من خلال إنشاء بصمة إلكترونية لزائر الموقع وإرسالها إلى خوادم Adspect التي تحدد الاستجابة المناسبة. بالإضافة إلى ذلك، تستخدم الصفحة طبقة إخفاء ثانية مدعومة بخدمة JustCloakIt.
أهداف المهاجمين المحتملة
وفقاً لتقرير Huntress، فإن التكتيكات المستخدمة تتوافق مع سلوك الوسيطين الذين يبيعون الوصول الأولي للأنظمة أو يستعدون لنشر برمجيات فدية. في حالة واحدة على الأقل، استخدم المهاجم الوصول لـ:
- نشر أداة قتل EDR
- سحب بيانات الاعتماد من ذاكرة LSASS
- استخدام أدوات مثل NetExec للاستطلاع الشبكي
- الحركة الأفقية داخل الشبكة
تشير تيكبامين إلى أن هذه الحملة تظهر تطوراً خطيراً في تكتيكات الإعلانات الخبيثة، خاصة مع استخدام خدمات الإخفاء التجارية وتقنيات تجاوز الحماية المتقدقة. يُنصح المستخدمون بالحذر عند النقر على الإعلانات الممولة وتنزيل البرامج من المصادر الرسمية فقط.
