- تعود البرامج الضارة لـ Gootloader إلى الظهور باستخدام الإعلانات الضارة وتسمم تحسين محركات البحث (SEO) لنشر العدوى
- يقوم المهاجمون الآن بإخفاء أسماء البرامج الضارة باستخدام خطوط الويب الخادعة وتبديل الحروف الرسومية
- يقوم Loader بتوصيل برامج الفدية وبرامج سرقة المعلومات وCobalt Strike عبر نتائج البحث المخترقة
حذر الخبراء من أن عملية احتيال البرامج الضارة Gootloader، التي كان يُعتقد أنه تم تعطيلها وإغلاقها في مارس 2025، قد عادت بحيل قديمة وجديدة.
يشتهر Gootloader باستخدام الإعلانات الضارة وتسميم تحسين محركات البحث (SEO) لتوزيع البرامج الضارة. يقوم مجرمو الإنترنت إما بإنشاء مواقع ويب، أو التسلل إلى المواقع الشرعية، وإعادة ترتيبها لاستضافة مستندات مختلفة، مثل قوالب NDA. ثم يقومون بعد ذلك بشراء الإعلانات على شبكات الإعلانات الشهيرة، أو الانخراط في عمليات تسميم تحسين محركات البحث (SEO)، حيث يقومون بإنشاء عدد لا يحصى من المقالات على الويب وملؤها بالكلمات الرئيسية التي ترتبط بالمواقع الخاضعة لسيطرتهم.
يزعم المحللون من Huntress Labs أنهم رأوا مئات من مواقع الويب التي تستضيف البرامج الضارة، وأشاروا إلى أن مزيجًا من هاتين الممارستين يعني أنه عندما يبحث الأشخاص عن مصطلحات مختلفة، ستظهر مواقع الويب الضارة هذه في أعلى نتائج محرك البحث، بدلاً من الصفحات الشرعية الفعلية، مما يزيد من فرص التسوية.
تقنيات التشويش
تم إنهاء الحملة فعليًا في مارس 2025، بعد الضغط المستمر من الباحثين الأمنيين تجاه مزودي خدمة الإنترنت ومنصات الاستضافة مما أدى إلى إزالة البنية التحتية للمهاجمين.
الآن، بعد توقف دام نصف عام، عاد Gootloader، باستخدام نفس التقنيات لنشر المُحمل الذي بدوره يخدم برامج الفدية المختلفة أو برامج سرقة المعلومات أو إشارات Cobalt Strike.
وقال الباحثون إن الاختلاف الأكبر يكمن في تقنيات التشويش الجديدة. باستخدام جافا سكريبت، يقوم المهاجمون بإخفاء أسماء الملفات الحقيقية للبرامج الضارة، وذلك باستخدام خط ويب خاص يستبدل الأحرف برموز تبدو متشابهة. في مصدر HTML، قد يرى الباحث هراء، ولكن عند عرض الصفحة، ستعرض الرموز كلمات عادية.
“بدلاً من استخدام ميزات استبدال OpenType أو جداول تعيين الأحرف، يقوم المُحمل بتبديل ما يعرضه كل حرف رسومي فعليًا. تبدو البيانات التعريفية للخط شرعية تمامًا، حيث يرتبط الحرف “O” بحرف رسومي يُسمى “O”، ويرتبط الحرف “a” بحرف رسومي يُسمى “a”، وهكذا دواليك،” كما قالت Huntress.
“ومع ذلك، تم تبديل مسارات المتجهات الفعلية التي تحدد هذه الحروف الرسومية. عندما يطلب المتصفح شكل الحرف الرسومي “O”، يوفر الخط إحداثيات المتجهات التي ترسم الحرف “F” بدلاً من ذلك. وبالمثل، فإن “a” يرسم “l”، و”9” يرسم “o”، وأحرف Unicode الخاصة مثل “±” ترسم “i”. السلسلة الثرثرة Oa9Z±h• في الكود المصدري تظهر كـ “Florida” على الشاشة.”
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات