روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کمپین آلودهی وبی که هدفش کاربران آیفونی بود بیش از 100 وبسایتِ نشریاتی شامل روزنامههای آنلاین و مجلههای خبری هفتگیِ بینالمللی را تحتالشعاع خود قرار داده است. به نقل از تیم DSO[1] شرکت مدیا تراست، کاربران آیفونی که به از هر یک از وبسایتهای آلودهی مذکور سر زدند از طریق فرآیندی چندمرحلهای به کمپین تبلیغات آلوده ریدایکرت شدند و در نهایت گرفتار آگهی پاپآپ مخرب که خودش را در پوشش جایزهی فروشگاه مواد غذایی جا زده بود شدند. در طی همین مسیر، بدافزار Krampus-3PC آمد تا از کاربران، اطلاعات کوکی و سشنِ کاربری جمعآوری کند و بدینترتیب به مهاجمین این توانایی را بدهد تا به اکانتهای مختلف آنلاین لاگین شوند. بدتر اینکه، اگر بازدیدکنندگان روی آگهی فروشگاه مواد غذایی کلیک کنند همچنین به صفحهی فیشینگی هدایت خواهند شد که در نهایت آنها را مجبور به وارد کردن اطلاعات شخصیشان میکند.
DSO در گزارشی (فرمت پیدیاف) چنین گفت، «این بدافزار قادر بود نه تنها هر اطلاعاتی را که کاربران وارد کرده بودند که همچنین توانست شماره تلفن آنها را –که بعداً از آنها برای متون فیشینگ و آیدیهای کوکی استفاده شد- بازیابی کند. این آیدیِ کوکی اجازه داد تا Krampus-3PC مرورگر را سرقت کرده و به اکانت کاربر دسترسی پیدا کند».
دسترسی به یک سشنِ کوکی، آگهیِ مخرب را قادر میکند خودش را در قالب آن کاربر زده و در زمانی دیگر لاگین شود. مهاجمین که البته به نقل از مدیا تراست منبع ناشناختهای دارند، ابتدا آگهیای را روی یک ارائهی دهندهی فناوری آگهی به نام Adtechstack گذاشتند تا توزیع شود. سپس از API پلتفرم برای درج کد مخرب استفاده کردند.
مایک بیتنر، مدیر امنیت دیجیتال مدیا تراست چنین میگوید، «از آنجایی که روی این پلتفرم دارند آگهی اجرا میکنند، به ابزارهای پلتفرم دسترسی دارند. این پلتفرم آگهی را از آگهیدهندهی مخرب میگیرد و پلتفرم آگهی آن را به ناشر که روحش از این آلودگی باخبر نیست میفروشد».
بیتنر اینطور توضیح میدهد که آن آگهی که به دروغ خودش را متعلق به شرکت فناوری بینالمللی جا زده بود و ادعا کرده بود یک برند شناختهشده است در واقع در پسزمینه همان بدافزار Krampus-PC3 بود پنهان در پس یک آگهی آلوده. این بدافزار بدون اینکه کاربران نیاز داشته باشند روی چیزی کلیک کنند (همین بس که این آگهی روی صفحهای اجرا میشد که کاربر آیفونی از آن در حال بازدید بود) ابتدا بررسیهایی انجام داد تا مطمئن شود کاربر تمام مؤلفههای یک قربانی تمام عیار را دارد؛ تمام مؤلفههایی که مهاجمان به دنبال آنند (استفاده از آیفون). وقتی همهی بررسیها صورت گرفت، کاربر به پاپآپهای جعلی هدایت گشته و درست همان موقع بود که جمعآوری اطلاعات شروع میشود.
در این گزارش همچنین ذکر شده بود که، «(در صورت مثبت بودن بررسیها) Krampus-3PC یوآرال پیلودی را ایجاد و اجرا نمود -boostsea2[.]com – و البته اطلاعات کاربری را برای سرور فرمان و کنترل فرستاد. این یوآرال پیلود مرورگر را سرقت کرد و جایش آدرس صفحه را برای ریدایکرت کردن کاربران به پاپآپ جایزه جایگزین کرد. اگر این ریدایرکشن شکست میخورد از متود بکآپ استفاده میکرد. بدینترتیب یوآرال آلوده در تب دیگر لود میشد. این یوآرال به باز بودن و لود شدنش در تب جدید که ریدایرکشن موفقیتآمیز عمل کرده بود ادامه میداد».
ناشران آنلاین و شرکتهای تکنولوژی تبلیغات[2] که با آنها کار میکنند معمولاً برای جلوگیری از این نوع دستکاریها از بلاکرهای محبوب بدافزار استفاده میکنند؛ با این حال، Krampus-3PC اسکنرها و بلاکرهای قراردادی را از طریق روش مبهمسازی کد[3] دور زد. مدیا تراست از آوردن نام ناشران آلوده سر باز زد. به نقل از بیتنر، Krampus که در حقیقت برگرفته از اسم شخصیتی در افسانههای اروپایی است؛ کسی که در طول فصل کریسمس به خانهها سر میزند تا بچههای شیطان را تنبیه کند، بدافزاریست هوشمند. وی اینطور ادامه میدهد، «با توجه به سطح پیچیدگی آن، احتمال میدهیم توسط یک تیم ساخته شده باشد و نه یک فرد. استفاده از API پلتفرم تکنولوژی آگهی و برگه سبک نگارش[4] آبشاری که میان آیفونها رایج است (به عنوان یکی از چند روش شناسایی دستگاه) از جمله تکنیکهای بسیار جدیدی به شمار میآیند که حتی پیدا کردنشان برای متخصصین تهدید سخت است چه برسد به بازتولید آنها». پلتفرم تکنولوژی تبلیغات، آگهیدهنده و خود آگهی را در فهرست سیاه قرار داد.
[1] اختصار عبارت امنیت و عملیاتهای دیجیتالی
[2] adtech
[3] Obfuscation
[4] Style sheet
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.