گزارش چکپوینت درباره
براساس گزارش منتشر شده توسط شرکت چکپوینت، «Master134» به عنوان یک کمپین تبلیغات مخرب، بهصورت سازمان یافته و گسترده، کاربران اینترنت را مورد هدف قرار داده است.
Master134 با بهرهجویی از آسیبپذیری در وبسایتهای وردپرسی، ترافیک کاربران را به چندین شبکه تبلیغاتی هدایت کرده و پس از آن با نمایش تبلیغات مخرب در همان شبکههای تبلیغاتی، کاربران مختلف در سراسر دنیا را به سمت وبسایتهای کلاهبرداری و آلوده به باجافزار و تروجانهای بانکی هدایت میکند.
بهگفته محققان چکپوینت، Master134 با سرقت ترافیک بیش از ۱۰ هزار وبسایت وردپرسی آسیبپذیر، امکان سوءاستفاده مهاجمان از بازدیدکنندگان این وبسایتها را فراهم میسازد.
براساس اطلاعات منتشر شده، همه چیز با دسترسی عوامل پشتپرده کمپین Master134 به وبسایتهای وردپرسی آسیبپذیر شروع میشود. تمام وبسایتهای آسیبپذیر و هک شده توسط سازندگان این کمپین، از نسخه ۴.۷.۱ وردپرس استفاده میکنند که به مهاجمان اجازه میدهد از راه دور این وبسایتها را کنترل و هک کنند. مهاجمان با تزریق کدهای مخرب، کاربران این وبسایتها را به سرورهای سرویس Master134 هدایت میکنند که پس از آن، ترافیک دزدیده شده آنها به شبکههای تبلیغاتی هدایت میشود.
محققان شرکت چکپوینت معتقد هستند سازندگان Master134 پس هدایت کاربران به سرورهای تحت کنترل این کمپین، با همکاری پلتفرم تبلیغاتی AdsTerra، ترافیک کاربران را به نمایندگان فروش تبلیغات اینترنتی مانند ExoClick ،AdKernel ،EvoLeads و AdventureFeeds میفروشند.
همچنین محققان چکپوینت میگویند سازندگان این کمپین مخرب به دنبال توزیع باجافزار و تروجانهای بانکی هستند و تبلیغات آلودهشان را به شرکتهایی که ترافیک دزدیده شده کاربران را میفروشند، سفارش میدهند تا در هزاران وبسایت در سراسر جهان کاربران را مورد هدف قرار دهند.
استفاده از تبلیغات مخرب (Malvertising)، شیوهای شناخته شده در بین مجرمان سایبری است که بهواسطه نمایش تبلیغات حاوی کدهای مخرب، از آسیبپذیریهای اصلاحنشده در مرورگرهای قدیمی و همچنین افزونههای آسیبپذیر مانند فلشپلیر بهره میبرند؛ بهطوریکه کاربران با بازدید از سایتهای حاوی تبلیغات مخرب بهسادگی به باجافزارها و انواع دیگر بدافزارها آلوده میشوند.
توضیحات بیشتر در:
- A Malvertising Campaign of Secrets and Lies