جرى الأسبوع الماضي إعادة توجيه بعض زوار العديد من مواقع الإنترنت رفيعة المستوى إلى ثغرات في المتصفح قامت بتثبت برمجيات خبيثة على حواسيبهم، وذلك جراء النقر على إعلانات خبيثة كانت موجودة على تلك المواقع.

ووفقًا لباحثين من الشركة الأمنية الهولندية “فوكس-آي تي” Fox-IT، أضرّت هذه الحملة الإعلانية الخبيثة بزوار مواقع مثل Java.com، و Deviantart.com و TMZ.com، و Photobucket.com، و IBTimes.com، و eBay.ie، و Kapaza.be، و TVgids.nl، وذلك خلال المدة بين 19 و 22 آب/أغسطس الجاري.

وقال الباحثون في منشور لهم الأربعاء، “لم تتعرض تلك المواقع للخطر بأنفسها، بل كانت ضحية حملة إعلانية خبيثة”. وأضافوا “هذا يعني أنّ مُزوّد إعلانات، ممن يوفّر خدماته لجزء صغير من الموقع، أشاع إعلانات خبيثة كان الهدف منها إصابة الزوار ببرمجية خبيثة”.

وأوضح الباحثون أن الإعلانات الخبيثة وُزِّعت من خلال “آب نيكسوس” AppNexus، وهو جهاز حاسوب يُشغِّل منصة إعلانات آنية عبر الإنترنت والذي قام بإعادة توجيه الزوار إلى حزمة “أنجلر” Angler لاستغلال الثغرات.

ويمكن لأداة الهجوم هذه استغلال الثغرات الموجودة في النسخ منتهية الصلاحية من برمجيات “فلاش بلاير”، و “جافا”، و “مايكروسوفت سيلفر لايت”، وذلك بغية تثبيت برمجيات خبيثة على حواسيب المستخدمين وبصمت.

وقال باحثو شركة “فوكس-آي تي” إنه وفي هذا الهجوم بالتحديد، استخدام المتسللون حزمة “أنجلر” لاستغلال الثغرات لتثبيت البرمجية الخبيثة “أسبروكس” Asprox التي هي عبارة عن شبكة خبيثة “بوت نت” Botnet مزعجة وسيئة السمعة اُستخدمت خلال الأشهر القليلة الماضية للإضرار بأجهزة الحاسوب بغية تأدية حملة احتيال من خلال النقر على الإعلانات.

وبينما يُعرف عن “أسبروكس” أنها تقوم أساسًا بإرسال البريد المزعج، لدى هذه البرمجية الخبيثة وظائف خبيثة أخرى، بما في ذلك مسح مواقع الويب بحثًا عن ثغرات أمنية لسرقة بيانات اعتماد الدخول المُخزّنة على أجهزة الحواسيب.

وشهدت السنوات الماضية الإبلاغ عن هجمات مشابهة عبر العديد من شبكات الإعلان ومواقع الويب ما دفع مجلس الشيوخ الأمريكي إلى إجراء تحقيقات، ومع هذه الحادثة الأخيرة، يرى الخبراء أن هذه الهجمات تزداد تعقيدًا.

وفي هذه الهجمة، استفاد المتسللون أيضًا من ممارسة إعلانية عبر الإنترنت تُعرف بـ “إعادة الاستهداف”، وذلك لجعل الهجوم عصيًا على الاكتشاف، حيث تنطوي إعادة الاستهداف على ترك بيانات تعقب، مثل الكوكيز أو ملفات أخرى داخل متصفحات المستخدمين عندما يقومون بزيارة مواقع إنترنت لعلامات تجارية محددة، وذلك لتقوم هذه المواقع لاحقًا بعرض إعلانات عن تلك العلامات على مواقع أخرى.

ووفقًا للباحثين الأمنيين، استفاد المتسللون أيضًا من عملية مزايدة آنية تُستخدم لإشاعة إعلانات تستند إلى بيانات المستخدم، مثل الموقع الجغرافي، ونوع المتصفح، وتاريخ تصفح الويب. وتسمح هذه الآلية للمعلنين بمحاولة عرض إعلاناتهم آنيًا على الزوار الذين يتوافقون مع معايير محددة.

ومع صعوبة تحديد عدد ضحايا هذه الحملة الإعلانية الخبيثة، دعت شركة “فوكس-آي تي” المستخدمين إلى فحص حواسيبهم بحثًا عن برمجيات خبيثة.

وأوضحت الشركة أنه ليس هناك طريقة ناجعة للحماية ضد هذا النوع من الهجمات، ولكن يوجد بعض الطرق للحد من احتمالية تعرّض المستخدمين للخطر، ويشمل ذلك، تفعيل ميزة “انقر للتشغيل” في المتصفحات التي تدعمها، وتعطيل المكونات الإضافية التي لا يحتاجها المستخدم، فضلًا عن ضرورة استخدام امتدادات حجب الإعلانات.