ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کمپین آلوده‌ی وبی که هدفش کاربران آیفونی بود بیش از 100 وبسایتِ نشریاتی شامل روزنامه‌های آنلاین و مجله‌‌های خبری هفتگیِ بین‌المللی را تحت‌الشعاع خود قرار داده است. به نقل از تیم DSO  شرکت مدیا تراست، کاربران آیفونی که به از هر یک از وبسایت‌های آلوده‌ی مذکور سر زدند از طریق فرآیندی چندمرحله‌ای به کمپین تبلیغات آلوده ریدایکرت شدند و در نهایت گرفتار آگهی پا‌پ‌آپ مخرب که خودش را در پوشش جایزه‌ی فروشگاه مواد غذایی جا زده بود شدند. در طی همین مسیر، بدافزار Krampus-3PC آمد تا از کاربران، اطلاعات کوکی و سشنِ کاربری جمع‌آوری کند و بدین‌ترتیب به مهاجمین این توانایی را بدهد تا به اکانت‌های مختلف آنلاین لاگین شوند. بدتر اینکه، اگر بازدیدکنندگان روی آگهی فروشگاه مواد غذایی کلیک کنند همچنین به صفحه‌ی فیشینگی هدایت خواهند شد که در نهایت آن‌ها را مجبور به وارد کردن اطلاعات شخصی‌شان می‌کند.
DSO در گزارشی (فرمت پی‌دی‌اف) چنین گفت، «این بدافزار قادر بود نه تنها هر اطلاعاتی را که کاربران وارد کرده بودند که همچنین توانست شماره تلفن آن‌ها را –که بعداً از آن‌ها برای متون فیشینگ و آی‌دی‌های کوکی استفاده شد- بازیابی کند. این آی‌دیِ کوکی اجازه داد تا Krampus-3PC مرورگر را سرقت کرده و به اکانت کاربر دسترسی پیدا کند».
دسترسی به یک سشنِ کوکی، آگهیِ مخرب را قادر می‌کند خودش را در قالب آن کاربر زده و در زمانی دیگر لاگین شود. مهاجمین که البته به نقل از مدیا تراست منبع ناشناخته‌ای دارند، ابتدا آگهی‌ای را روی یک ارائه‌ی دهنده‌ی فناوری آگهی به نام Adtechstack گذاشتند تا توزیع شود. سپس از  API پلت‌فرم برای درج کد مخرب استفاده کردند.
مایک بیتنر، مدیر امنیت دیجیتال مدیا تراست چنین می‌گوید، «از آنجایی که روی این پلت‌فرم دارند آگهی اجرا می‌کنند، به ابزارهای پلت‌فرم دسترسی دارند. این پلت‌فرم آگهی را از آگهی‌دهنده‌ی مخرب می‌گیرد و پلت‌فرم آگهی آن را به  ناشر که روحش از این آلودگی باخبر نیست می‌فروشد».
بیتنر اینطور توضیح می‌دهد که آن آگهی که به دروغ خودش را متعلق به شرکت فناوری بین‌المللی جا زده بود و ادعا کرده بود یک برند شناخته‌شده است در واقع در پس‌زمینه همان بدافزار  Krampus-PC3 بود پنهان در پس یک آگهی آلوده. این بدافزار بدون اینکه کاربران نیاز داشته باشند روی چیزی کلیک کنند (همین بس که این آگهی روی صفحه‌ای اجرا می‌شد که کاربر آیفونی از آن در حال بازدید بود) ابتدا بررسی‌هایی انجام داد تا مطمئن شود کاربر تمام مؤلفه‌های یک قربانی تمام عیار را دارد؛ تمام مؤلفه‌هایی که مهاجمان به دنبال آنند (استفاده از آیفون). وقتی همه‌ی بررسی‌ها صورت گرفت، کاربر به پاپ‌آپ‌های جعلی هدایت گشته و درست همان موقع بود که جمع‌آوری اطلاعات شروع می‌شود.
در این گزارش همچنین ذکر شده بود که، «(در صورت مثبت بودن بررسی‌ها) Krampus-3PC یو‌آرال پی‌لودی را ایجاد و اجرا نمود -boostsea2[.]com – و البته اطلاعات کاربری را برای سرور فرمان و کنترل فرستاد. این یو‌آرال پی‌لود مرورگر را سرقت کرد و جایش آدرس صفحه را برای ریدایکرت کردن کاربران به پا‌پ‌آپ جایزه جایگزین کرد. اگر این ریدایرکشن شکست می‌خورد از متود بک‌آپ استفاده می‌کرد. بدین‌ترتیب یو‌آرال آلوده در تب دیگر لود می‌شد. این یو‌آرال به باز بودن و لود شدنش در تب جدید که ری‌دایرکشن موفقیت‌آمیز عمل کرده بود ادامه می‌داد».
ناشران آنلاین و شرکت‌های تکنولوژی تبلیغات  که با آن‌ها کار می‌کنند معمولاً برای جلوگیری از این نوع دستکاری‌ها از بلاکرهای محبوب بدافزار استفاده می‌کنند؛ با این حال، Krampus-3PC اسکنرها و بلاکرهای قراردادی را از طریق روش مبهم‌سازی کد  دور زد. مدیا تراست از آوردن نام ناشران آلوده سر باز زد. به نقل از بیتنر، Krampus که در حقیقت برگرفته از اسم شخصیتی در افسانه‌های اروپایی است؛ کسی که در طول فصل کریسمس به خانه‌ها سر می‌زند تا بچه‌های شیطان را تنبیه کند، بدافزاریست هوشمند. وی اینطور ادامه می‌دهد، «با توجه به سطح پیچیدگی آن، احتمال می‌دهیم توسط یک تیم ساخته شده باشد و نه یک فرد. استفاده از API پلت‌فرم تکنولوژی آگهی و برگه سبک نگارش  آبشاری که میان آیفون‌ها رایج است (به عنوان یکی از چند روش شناسایی دستگاه) از جمله تکنیک‌های بسیار جدیدی به شمار می‌آیند که حتی پیدا کردنشان برای متخصصین تهدید سخت است چه برسد به بازتولید آن‌ها». پلت‌فرم تکنولوژی تبلیغات، آگهی‌دهنده و خود آگهی را در فهرست سیاه قرار داد.

منبع: کسپرسکی آنلاین