במחקר חדש נמצא כי רשתות הפרסום של גוגל ובינג מנוצלות לרעה לשם הפצת נוזקות. מומחי אבטחת סייבר מ- Sophos הכריזו לאחרונה על גילוי מתקפת נוזקות חדשה בשם Nitrogen. במתקפות אלו משתמשים פושעי הסייבר במודעות גוגל ובמודעות בינג כדי לפרסם כלים דיגיטליים פופולריים כגון AnyDesk (כלי שולחן עבודה מרוחק), WinSCP (לקוח SFTP/FTP עבור מערכת ההפעלה Windows), TreeSize Free (מנהל שטח פנוי בדיסק) ו- Cisco AnyConnect VPN. כאשר מחפש הקורבן כל אחד מהכלים הללו (או מוצא את המודעה בכל מקום באינטרנט שבו מוצגות מודעות גוגל ובינג) ולוחץ על המודעה, אין הוא מופנה לאתרים הרשמיים השייכים למוצרים אלו. במקום זאת, הוא מופנה לאתרי וורדפרס שנפרצו (או דפי נחיתה שתוכננו במיוחד למטרת מתקפת הסייבר), שם הוא מקבל הצעה להוריד את קבצי ההתקנה (בדרך כלל קבצי ISO). קבצי ההתקנה הם במקרים מסוימים לגיטימיים, אך מצורפת אליהם נוזקה שבסופו של דבר מורידה Cobalt Strike, או דומה לה. הדבר מאפשר לפושעי הסייבר גישה למערכת המחשוב של הקורבן וכן, מאפשר להם להתקין נוזקות נוספות בשלב שני, נוזקות אשר יכולות להיות כמעט כל דבר החל מגניבת מידע ועד כופרה. החוקרים מאמינים שפושעי הסייבר אינם מחפשים להשיג גישה למחשבים השייכים לקבוצה או לאדם ספציפי – הם מטילים רשת רחבה ורואים מי נתפס בה. חוקרי הסייבר גם מאמינים שסביר מאוד שפושעי הסייבר יתחזו לתוכנות לגיטימיות אחרות בעתיד. שמה של הקבוצה שמאחורי פשעי סייבר אלו אינו ידוע בשלב זה.
זה לא הראשון וככל הנראה גם לא יהיה מסע מתקפות הסייבר האחרון המנצל לרעה רשתות פרסום לגיטימיות כמו Google Ads ו- Bing Ads כדי להפיץ נוזקות. מוקדם יותר השנה הזהירו חוקרים מ- SecureWorks מפני מתקפת סייבר בשם Bumblebee אשר עשתה שימוש ב- Google Ads כדי להפיץ נוזקות. מתקפה זו ניסתה להחדיר נוזקות אצל משתמשים שחיפשו תוכנות כגון Zoom, Cisco AnyConnect, ChatGPT ו- Citrix Workspace. רק מספר חודשים לפני כן, בפברואר, הזהירו חוקרים מ- SentinelLabs מפני מתקפת סייבר באמצעות Google Ads ששימשה להפצת Formbook – נוזקה ידועה לגניבת מידע. בדוגמה זו התמקדו פושעי הסייבר במשתמשים שחיפשו את תוכנת Blender 3D. בדצמבר 2022 התגלו התחזויות ל- Grammarly, MSI Afterburner ו- Slack כדי לגרום למשתמשים להתקין את IceID ו- Raccoon Stealer – גם כן נוזקות לגניבת מידע.
מה שהופך את סוג המתקפות הללו לכל כך פופולרי הוא האמון העצום בו זוכות פלטפורמות הפרסום הללו בקרב הציבור הרחב. Google Ads ו- Bing Ads נתפסות בעיקר כאמינות, כאשר משתמשי אינטרנט מאמינים בתוקף שמערכת הסינון של החברות הללו עובדת היטב ושאי אפשר להפעיל באמצעותן מתקפות סייבר. זה נכון בעקרון, כאשר מאות, אם לא אלפי מתקפות סייבר נחסמות על ידי ספקי השירות, אולם חלקן מצליחות עדיין לפעול. עם אמון ברמה כל כך גבוהה, אנשים רבים לא מסתכלים פעמיים כשהם לוחצים על תוצאה של מנוע החיפוש השמורה לפרסום בתשלום ולא בודקים פעמיים את שורת הכתובת של האתר שזה עתה פתחו. כתוצאה מכך, הקורבנות הינם אלו שבסופו של דבר מתפשרים על אבטחת המידע שלהם. במקרים רבים, הם אפילו יתעלמו מאזהרות תוכנות האנטי-וירוס שלהם ויפסלו אותן כתוצאות כוזבות, בשל העובדה שהם עברו לדף באמצעות מנוע החיפוש המהימן שלהם. הדרך הטובה ביותר לשמור על בטיחות היא להיות תמיד בכוננות, גם בעת חיפוש בגוגל ובינג.
כאשר פרסמה SecureWorks את הדו"ח שלה אודות מתקפות סייבר בשימוש מודעות פרסום, הסביר אז מנהל המודיעין שלה – מייק מקללן, כי לא פחות מ- 1% מכלל המודעות המקוונות מכילות תוכן זדוני. מקללן תיאר את התרחיש הטיפוסי שבמהלכו מותקף קורבן: במקום להוריד תוכנה דרך צוות ה- IT של החברה, לוקחים עובדים מרוחקים רבים את השליטה ופונים לרשת בעצמם, כשהם אינם מודעים לסיכונים הפוטנציאליים. מקללן הסביר שהממצאים הוכיחו את חשיבותה של מדיניות קפדנית בארגונים להגבלת הגישה למודעות אינטרנט וניהול הרשאות בהורדת תוכנות. Sophos הוסיפו שכדי להישאר בטוחים, צריכים משתמשים להיות תמיד מודעים לפרסומות המוצגות ממנועי חיפוש ולהשתמש בתוספים חוסמי פרסומות. לחלופין, יכולים משתמשים להפעיל את ברירת המחדל בדפדפנים עם יכולות מובנות לחסימת פרסומות. כמו כן, על המשתמשים לשקול להגביל את היכולת לטעון מערכות קבצים וירטואליות באמצעות מדיניות קבוצתית ולהיות מודעים להורדת קבצים בסיומות חריגות.
