حملة Badware كثيفة تستهدف نتائج بحث Google

الوقت المقدّر لقراءة هذا المقال: 4 دقيقة و 22 ثانية

بشكل مثير للسخرية كنت أقرأ البارحة خبراً حول حملة كثيفة من مجتمع Black-Hat باستخدام برامج Badware (البرامج التي تقوم بانتحال أسماء وشكل برامج شرعية وآمنة وتحاول خداع المستخدمين لتثبيتها على أنظمتهم وما هي في الواقع إلا برامج تجسس) حيث يتم استغلال نتائج بحث Google وبشكل معزول عن الطرق الآلية التي تستخدمها Google في كشف المواقع الخبيثة من خلال شبكة متغيرة من الموجّهات redirectors.

تتم محاولات تثبيت هذه البرامج الضارة من خلال مشاركات يتم نشرها في المدونات بشكل آلي تشير إلى مدوّنات وهمية والتي تبدو برئية تماماً لو تمت زيارتها بشكل مباشر، بينما تحاول بشكل عنيف أن تثبت مكافح فيروسات Windows مزوّر والذي يكون عبارة عن trojan horse لو تم الوصول إليها من خلال نتائج بحث Google!

صورة للطريقة التي قد يظهر فيها برنامج الحماية المزّيف

يتضمن موقع The Unmask Parasites تحليلاً تفصيلياً من جزئين عن حملة البرامج الضارة هذه، والذي يلقي بعض الضوء على مجموعة من الأرقام: حوالي 688,000 مدونة وهمية تروّج لبرامج خبيثة موجودة في Google، بعضها تحوي حتى 1000 تدوينة!

هذا التحليل يشير أيضاً إلى أن العديد من المواقع المخترقة بهدف استضافة مدوّنات وهمية موجودة على شبكة Servage.net

أقتبس عن The Unmask Parasites الجزء التالي:

What we have here is millions of rogue web pages targeting the long tail of web search (millions of keywords) where each page tries to install fake (and malicious) “anti-virus” software on visitors’ computers. While this black-hat campaign is active for at least 6 months, webmasters of the compromised sites and their hosting providers don’t simply notice this illicit activity. The good news is Google seems to have noticed this problem. Probably thanks to the Cyveillance blog post. During the week after that post I see a steady decrease in search results returned by the queries that you can find in this post.

أعود الآن للقول، بشكل مثير للسخرية، البارحة وصلتني رسالة تنبيه بأن هناك مشاركة جديدة في مدوّنتي الشخصية في آخر موضوع نشرته “Perhaps the blog is dead, but..” لأجد المشاركة التالية:

وفي محاولة لرؤية موقع صاحب المشاركة hXXp://gnom.cc فوجئت بأن الموقع مستضاف لدى.. نعم، Servage.net – وقد تم إيقاف حسابه 😀

إن دل هذا على شئ إنما يدل على أن الحملة ما زالت قائمة لكن يتم اتخاذ الإجراءات المضادة تجاهها.

(تحديث بتاريخ 29/11/2009) ملاحظة: وفقاً لمستجدّات حول ملكية العنوان hXXp://gnom.cc يرجى مراجعة أول تعقيبين منشورين أدناه.

ربما تود مراجعة مشاركات زوار مدوّنتك الآن؟ 🙂

المصادر:

Rogue blogs redirect search traffic to bogus AV sites. Part 1.

Rogue blogs redirect search traffic to bogus AV sites. Part 2.

http://www.cyveillanceblog.com/general-cyberintel/malware-google-search-results


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • السلام عليكم

    أولاً يرجى من حضرتكم عند كتابة موضوع البحث جيداً!!!

    أنا لست بوت ولا تروجان أنا أنسان 🙂

    إن ما خاب ظني أنت xacker من دمشق كنت تملك موقع على geocities.com باسم
    fatal terror سنة 2000 – 2001 لا أدري بالضبط ، وكنت من متابعين الموقع 🙂

    ولك باع طويل في مجالك (cracker) وأنا عكسك

    http://www.zone-h.org/archive/defacer=SYRIAN-HACKER

    وبالنسبة لموقعي أنا مغلقه لكثرة المشاكل

    كنت قد كتبت رد سابق ولكن لم يظهر لا أدري لماذا ؟

    وكل عام وانتم بالف خير

  • Xacker

    وعليكم السلام ورحمة الله وبركاته،

    قمت بمراجعة بيانات تسجيل الموقع hXXp://gnom.cc:
    http://whois.domaintools.com/gnom.cc

    ومن خلال الإطلاع على صيغة الايميل الوارد في بيانات التسجيل ([email protected]) ووروده في الصفحات المخترقة والمؤرشفة على zone-h.org أصبح بالإمكان أن أقول لك، عفواً 🙂

    الأمر لم يكن مبني على الكثير من التحليل، وكما ترى من خلال قراءتك للموضوع، فقد تم ربط إيقاف موقع (سواء بطلب شخصي أو من قبل الشركة صاحبة الاستضافة) بوجوده على Servage.net بالخبر الطازج من الفرن، كل هذا بناء على افتراضات بريئة لا تسئ للموقع ولا إلى أصحابه.

    أما فيما يتعلق بعدم ظهور الردود السابقة لك، فـ Akisment السكربت المسؤول عن حماية الموقع من التعليقات المزعجة هو من قام بإيقاف تلك التعليقات من النشر، وأعتقد أنك تعرف محتواها 🙂

    ملاحظة: يتم التعديل على الموضوع الآن وإضافة تنويه في نهايته حول المستجدات.

    وكل عام وأنت بخير.

  • لا عليك أخي الحبيب (الموضوع مكتوب أيضاً على arab team 2000 الرجاء تعديله لكي لا يتم فهم ان موقعي منبع لهذه الامور 🙂

    اقتباس : ” وأعتقد أنك تعرف محتواها ” لا والله لا أعرف انا أول مرة كتبت نفس الرد من فايرفوكس ولكن لم يظهر والمرة الثانية كتبته من أوبرا وكلاهما من منصة لينوكس

    المشكلة من عندي ( لانه قمت بكتابة تعليق على مدونة binary ولم يظهر أيضاً)
    هذه ضريبة استخدام اخر اصدارات فايرفوكس 3.7 pre 🙂

  • Xacker

    تم تعديل الخبر المنشور على منتديات الفريق العربي للبرمجة 🙂

    تحياتي، وصباح الخير 😀