سلسلة جديدة من ثلاث خطوات للاحتيال الإعلاني تستغل إعلانات فيسبوك المدفوعة للترويج لمجموعة أدوات احتيال الدعم الفني

 

 

ظهر تهديد إلكتروني جديد ومتطور في منظومة الإعلانات الرقمية، يستهدف المستخدمين تحديدًا عبر الانتشار الواسع لمنصة الإعلانات المدفوعة على فيسبوك.

ويلجأ المهاجمون بشكل متزايد إلى استخدام إعلانات وسائل التواصل الاجتماعي كسلاح لتجاوز أنظمة الحماية التقليدية وإيصال محتوى ضار إلى ضحايا غير مدركين. 

 

تُدير هذه الحملة الأخيرة سلسلة معقدة من الإعلانات الخبيثة، تتألف من ثلاث خطوات، مصممة لخداع المستخدمين وتوجيههم إلى أدوات احتيال الدعم الفني، مما يُشكل خطرًا كبيرًا على الأمن السيبراني للأفراد.

يبدأ الهجوم بشكل غير ظاهر عندما يتفاعل المستخدم مع إعلان مدفوع أثناء تصفحه لصفحته على مواقع التواصل الاجتماعي. فبدلاً من توجيه الزيارات إلى موقع تجاري شرعي، يُفعّل الإعلان سلسلة من عمليات إعادة التوجيه.

يتم توجيه الضحية أولاً إلى موقع ويب وهمي - مصمم خصيصًا ليبدو كصفحة مطعم إيطالي - والذي يعمل كحاجز أساسي.

هذه الخطوة الوسيطة مُصممة لتجنب برامج الكشف الآلية التي قد تُشير إلى وجود رابط مباشر لموقع خبيث. 

يتم توجيه المستخدم إلى الوجهة النهائية: صفحة هبوط احتيالية مصممة لإثارة الذعر لدى المستخدم.

حدد 755 هذا النشاط تحديدًا، مسلطين الضوء على دقته العالية وسرعة تغيير المهاجمين للبنية التحتية.  

لاحظ الباحثون أن الحملة تستهدف المستخدمين حصرياً في منطقة 753 وتعمل وفقاً لنمط زمني محدد. 

للحفاظ على استمراريتهم وتجنب الإدراج في القوائم السوداء، تنقل المهاجمون بين أكثر من 100 نطاق فريد خلال سبعة أيام فقط.

ومن اللافت للنظر أن هذا النشاط لوحظ بشكل رئيسي خلال أيام الأسبوع، مما يشير إلى أن المهاجمين يعملون وفق جدول زمني احترافي لزيادة نطاق وصولهم إلى أقصى حد خلال ساعات الذروة.

في المرحلة الأخيرة من هذه العملية، يتم توجيه الضحية إلى صفحة هبوط مستضافة على البنية التحتية السحابية لمايكروسوفت أزور.

باستخدام نطاقات فرعية شرعية مثل web.core.windows.net، يضفي المحتالون مصداقية زائفة على تنبيهاتهم الاحتيالية.

عادةً ما تحاكي هذه الصفحات تحذيرات النظام الرسمية، مدعيةً زوراً أن الجهاز مخترق لإجبار الضحايا على الاتصال بخط دعم وهمي. 

التهرب عبر البنية التحتية المشروعة

إن أبرز سمات هذه الحملة هو استغلالها لخدمات الحوسبة السحابية الموثوقة لإخفاء نواياها الخبيثة.

من خلال استضافة صفحات الهبوط الخاصة ببرنامج TSS على منصة Azure، يُعقّد المهاجمون جهود الحماية، إذ أن الحظر الشامل لنطاق Windows الأساسي سيُعطّل الخدمات المشروعة.

يُساهم استخدام موقع simplydeliciouspairing[.]com الوهمي في زيادة إخفاء مسار الهجوم، مما يضمن وصول تفاعلات المتصفح الحقيقية فقط إلى حزمة الاحتيال.

تُمكّن هذه الاستراتيجية، إلى جانب التغيير المتكرر للنطاقات، الحملة من تجاوز قوائم الحظر الثابتة وأنظمة الكشف القائمة على التوقيعات بفعالية.

ننصح المستخدمين بشدة بتوخي الحذر عند النقر على إعلانات وسائل التواصل الاجتماعي. تحقق من عناوين URL قبل التفاعل مع المحتوى، وانتبه لأي عمليات إعادة توجيه غير متوقعة. 

ينبغي على فرق الأمن تنفيذ عمليات حظر لمؤشرات الاختراق المحددة (IOCs) ومراقبة أنماط حركة المرور الشاذة المماثلة التي تشمل النطاقات الفرعية لـ Azure.