كشفت تقارير حديثة عن حملة خبيثة متطورة تستغل الإعلانات المدفوعة على فيسبوك لاستهداف المستخدمين. تستخدم هذه الحملة سلسلة من التحويلات ثلاثية الخطوات لخداع الضحايا وإدخالهم في مخطط احتيال عبر الدعم الفني، مما يشكل تهديداً متزايداً للأمن السيبراني.
تعمل هذه الحملة الجديدة على نسج شبكة معقدة من الإعلانات الخبيثة ضمن النظام البيئي للإعلانات الرقمية. يتم استغلال النطاق الواسع لمنصة الإعلانات المدفوعة على فيسبوك لتجاوز مرشحات الأمان التقليدية وإيصال محتوى ضار للمستخدمين غير مدركين.
حملة خبيثة متطورة تستغل إعلانات فيسبوك
تبدأ آلية الهجوم هذه بشكل غير ملفت للنظر عندما يتفاعل المستخدم مع إعلان مدفوع أثناء تصفحه لآخر تحديثات حسابه على فيسبوك. بدلاً من توجيه المستخدم إلى موقع تجاري شرعي، يقوم الإعلان بتشغيل تسلسل إعادة توجيه.
يتم أولاً توجيه الضحية إلى موقع وهمي مصمم ليبدو كصفحة مطعم إيطالي. يعمل هذا الموقع الوسيط كدرع، حيث يساعد في تفادي آليات الكشف الآلية التي قد تكتشف الرابط المباشر إلى موقع خبيث.
بعد اجتياز المرشح، يتم إعادة توجيه المستخدم إلى الوجهة النهائية: صفحة هبوط احتيالية مصممة لإثارة الذعر لدى المستخدم. تشير التقارير إلى أن هذه الحملة تستهدف بشكل حصري المستخدمين في الولايات المتحدة.
منهجية المراوغة والوصول إلى الضحية
لاحظ محللو “Gen Threat Labs” هذه الأنشطة، مؤكدين على طبيعتها المستهدفة بدقة وسرعة الجهات الفاعلة في تغيير بنيتها التحتية. قام القائمون على الحملة بتدوير أكثر من 100 نطاق فريد في سبعة أيام فقط لتجنب الحظر.
من اللافت للنظر أن هذه الأنشطة لوحظت بشكل أساسي خلال أيام الأسبوع، مما يشير إلى أن المهاجمين يعملون بجد لتحقيق أقصى قدر من الانتشار خلال ساعات الاستخدام القصوى.
يبدو أن مرحلة الضحية النهائية لهذه السلسلة تضع المستخدم على صفحة هبوط مدارة ضمن البنية التحتية السحابية لـ Microsoft Azure. من خلال الاستفادة من النطاقات الفرعية المشروعة مثل web.core.windows.net، يمنح المحتالون شكلاً من أشكال الشرعية لإشعاراتهم الاحتيالية.
عادةً ما تحاكي هذه الصفحات تحذيرات نظام رسمية، مدعية كاذبة اختراق الجهاز لإجبار الضحايا على الاتصال بخط دعم مزيف. تمثل الإعلانات الخبيثة تحدياً متزايداً في مشهد الأمن الرقمي.
الاستفادة من البنية التحتية الشرعية للمراوغة
إن السمة الأكثر تميزاً لهذه الحملة هي إساءة استخدام خدمات سحابية موثوقة لإخفاء النوايا الخبيثة. من خلال استضافة صفحات هبوط احتيال الدعم الفني على Azure، يصعب على المهاجمين جهود التخفيف، حيث أن حظر نطاق Windows الأساسي بشكل واسع من شأنه أن يعطل الخدمات الصالحة.
يعزز استخدام موقع وهمي مثل simplydeliciouspairing[.]com تدفق الهجوم، مما يضمن وصول تفاعلات المتصفح الحقيقية فقط إلى مجموعة الاحتيال. تسمح هذه الاستراتيجية، جنبًا إلى جنب مع الحجم الكبير لتدوير النطاقات، للحملة بالتحليق فوق قوائم الحظر الثابتة والكشف المستند إلى التوقيع.
يُنصح بشدة المستخدمين بتوخي الحذر عند النقر على الإعلانات على وسائل التواصل الاجتماعي. تحقق من وجهات عنوان URL قبل التفاعل مع المحتوى وكن حذرًا من عمليات إعادة التوجيه غير المتوقعة. يجب على فرق الأمان تنفيذ حظر للمؤشرات المعروفة للاختراق (IOCs) ومراقبة أنماط حركة المرور الشاذة المشابهة التي تتضمن نطاقات Azure الفرعية.