تحقيق جديد يكشف عرض فيسبوك إعلانات برامج ضارة تهدد الملايين

تحقيق صحفي جديد يكشف عرض فيسبوك إعلانات برامج ضارة تهدد الملايين من المستخدمين من خلال فيروسات وملفات تجسسيه باسم الذكاء الاصطناعي وغيرها من التطبيقات

كشف تحقيق صحفي جديد، أعدته الشبكة اليمنية لتدقيق الحقائق، عن تورط فيسبوك في الموافقة على إعلانات لمنشورات زائفة عن خدمات وتطبيقات تتضمن برمجيات خبيثة تؤدي إلى سرقة معلومات المستخدمين، الأمر الذي يتعدى مجرد إعلان واحد، أو خطأ تم تداركه، بل يتضمن إعلانات متعددة يمكن أن تكون وصلت إلى الملايين، وبعضها يستمر عرضه منذ أشهر.

ويقول التحقيق الذي يعيد نشوان نيوز نشره، إنه إذا كنت تعيش عصر التحول الرقمي المذهل بتقنيات "الذكاء الاصطناعي"، لك أن تتخيل ماذا يعني أن يكون هناك نموذج أذكى 1800 من شات جي بي تي-4 الخارق، بل ما يمكن أن يعنيه نسخة جيميني أذكى 2500 مرة من كلٍ من GPT4+ Bing + Bard؛ ربما يمكن حينئذ حل مشاكل العالم واختصار الزمن. لكن ماذا إن كان هذا الحلم الخيالي مجرد معلومة مضللة تنتهي بفيروس خطير يقوم بسرقة معلوماتك وربما يقضي على مشاريع عملك ويجعلك أداة لإلحاق الضرر بغيرك؟

هذه الحقائق مجتمعة تحدث في أكبر منصة تواصل اجتماعي في العالم، التي ينشط فيها نحو 3 مليار مستخدم شهرياً، وفقاً لأحدث إحصائية قدمتها الشركة في فبراير/شباط 2024.

هذا العدد الكبير من المستخدمين، يمكن أن يكون أي منهم قد وقع ضحية، إذ وثقت الشبكة اليمنية لتدقيق الحقائق YFCN.ORG، خلال الأسابيع الماضية،  العديد من الإعلانات الخادعة والزائفة، لمنشورات تتضمن عبارات جذابة ومعلومات زائفة عن خدمات وتطبيقات، ومنها بالذات ما يرتبط بالذكاء الاصطناعي.

وشملت المنشورات الممولة الموثقة لدى YFCN، من خلال لقطات شاشة، إعلانات زائفة لبرمجيات شهيرة منها على سبيل المثال إعلان باسم شات جي بي تي الإصدار الخامس، يزعم المجرمون الالكترونيون أنه أذكى 1800 مرة من النموذج الحالي.

أظهرت مكتبة إعلانات فيسبوك، خمسة إعلانات في نفس الصفحة لتطبيق GPT-5 الزائف، ويتابع الصفحة 553 ألف شخص (بتاريخ 9 مارس 2024)، وهو ما يعني أن الإعلانات من الممكن أن تكون وصلت إلى مئات الآلاف من الأشخاص، عرض عليهم فيسبوك منتجات زائفة مزعومة. وحتى تاريخ كتابة هذا، ما تزال الإعلانات نشطة في الصفحة ذاتها.

وتعود بعض الاعلانات الممولة إلى نوفمبر/تشرين الثاني 2023، وعلى الرغم من بلاغات أدت إلى تعطيل بعض الروابط وحذفها، إلا أنها ما تزال معروضة على فيسبوك، وهو ما يشير إلى أن المنصة لم تتخذ عقوبات بحق ناشريه أو تغلق الصفحات.

كما كشفت المعلومات التي تحققت الشبكة منها، عن أن الصفحات التي يتم الإعلان فيها بعضها يخص منتجات أخرى، وهو ما يُفسر بأن بعضها صفحات تعرضت في الأصل لقرصنة، وقام المتسللون بتغيير تسميتها والإعلان فيها لبرمجيات ضارة.

وشملت الإعلانات أيضاً "جيميني برو" أو "جيميني ألترا"، نموذج الذكاء الاصطناعي لشركة جوجل، حيث يقدم المعلنون معلومات مزيفة وخرافية عن قدرات النموذج،  لحث المستخدم على الوصول إلى الرابط المرفق مع الإعلان في فيسبوك.

من تلك المزاعم المضللة، أن التطبيق الذي سيتم تحميله من خلال الرابط يتضمن نسخة أذكى 2500 من كلٍ من نماذج شات جي بي تي4 وبينج إيه إي، وبارد (النموذج السابق لشركة جوجل)، رغم مرور أكثر من شهر ونصف، يستمر المنشور في المواقع.

وتستمر الإعلانات الخادعة، التي تكتسب بعض الخصائص المتشابهة، إذ وثقت الشبكة لتدقيق الحقائق خلال مارس/آذار الجاري، إعلانات باسم تطبيقات ذكاء صناعي وغيرها، وجميعها ملفات تحتوي على برمجيات خبيثة.

برمجيات خبيثة لا خدمات!

لدى فتح الروابط التي يتم وضعها في الإعلانات، فإن الموقع يطلب من المستخدم تحميل ملف مضغوط ومحمي بكلمة سر، ويحتوي الملف المضغوط على ملف تنصيب setup، يُقدم على أنه للوصول إلى التطبيق الخاص بالإعلان، غير أنه في الحقيقة وبمجرد فحصه بأحد برامج مكافح الفيروسات، يتبين أنه يحتوي برمجيات خبيثة تلحق الضرر في جهاز الكمبيوتر عند تنصيبه ويمكن أن يتم سرقة معلومات سرية للمستخدم أو استخدام جهازه حصان طروادة لأنشطة ضد أجهزة أخرى.

ويفيد خبراء الشبكة اليمنية لتدقيق الحقائق أن المجرمين الالكترونيين أو أولئك الأشخاص الذي يقفون وراء هذه الإعلانات والبرمجيات الخبيثة، يقومون بوضع ملف التنصيب داخل ملف مضغوط من نوع RAR ومحمي بكلمة سر، حتى يتمكنوا من تجاوز بعض أدوات فحص الملفات، والتي من الممكن أن تكشف على الفور أن الملف مصاب.

نتائج الفحص وأحصنة طروادة

على مكافح أفاست، أظهر الفحص نوعين من البرمجيات الخبيثة أو التهديدات:

Script:SNH-gen[TR]

Other:malware-gen[TR]

بالإضافة إلى ذلك، قامت YFCN.ORG بفحص آخر للملف،ـ على موقع كاسبرسكي، والذي أكد أن الملف يحتوي على نوعين من البرمجيات الخبيثة:

كما يظهر في نتائج فحص ثلاثة ملفات تم إعلانها لبرامج مختلفة: النتيجة الأولى، النتيجة الثانية، النتيجة الثالثة.

النوع الأول تم تحديده من خلال: Trojan-Dropper.OLE2.Agent.sb

حيث، تم تصميم برامج Trojan-Dropper لتثبيت برامج ضارة سرية مدمجة في شيفرتها على أجهزة الضحايا. هذا النوع من البرامج الضارة، وفقاً لكاسبرسكي، عادةً ما يقوم بحفظ مجموعة من الملفات على قرص الضحية (عادةً في دليل Windows، دليل نظام Windows، الدليل المؤقت، إلخ)، ويشغلها دون أي إشعار (أو مع إشعار مزيف بخطأ في الأرشيف، إصدار نظام التشغيل منتهي الصلاحية، إلخ).

الكشف الآخر من خلال: HEUR:Trojan.Script.Generic،

حيث يُشير الجزء "Trojan" إلى أن البرنامج الضار يعتبر من فئة التروجانات، وهي أنواع من البرمجيات الضارة تنتحل الطابع الشرعي لبرنامج آخر لتنفيذ أنشطتها الخبيثة. أما "Script"، فيشير إلى أن البرنامج الضار يعتمد على نصوص أو سيناريوهات برمجية لتنفيذ أفعاله الضارة.

وبشكل عام، فإن الفيروسات المشار إليها ضمن ما يعرف بـ"أحصنة طروادة"، المأخذوة من الرواية اليوناية الشهيرة، ويعد هذا النوع حالياً "أكثر أنواع البرامج الضارة شيوعاً وتستخدم في فتح النوافذ الخلفية، والتحكم في الجهاز المتأثر وإبراز بيانات المستخدم وإرسالها إلى المهاجم وتنزيل برامج ضارة أخرى وتشغيلها على النظام المتأثر فضلاً عن العديد من الأهداف الشائنة الأخرى"، وفقاً للتعريف المختصر الذي يقدمه موقع Eset.

وبمراجعة مكتبة إعلانات فيسبوك، بدا أن الصفحات المستخدمة في الإعلانات يديرها أشخاص من دول متعددة، بما فيتنام، مصر، إندونيسيا، الولايات المتحدة. لكن ليس من المستبعد أن يكون المتسللون يستخدمون شبكات افتراضية.

مكتبة إعلانات فيسبوك

المراجعة التلقائية من فيسبوك

تفيد سياسات فيسبوك أن الموقع يستخدم "المراجعة التلقائية" للاعلانات وإنه "وفي بعض الحالات، المراجعة اليدوية". كما أن "نظام مراجعة الإعلانات" يعتمد "بشكل أساسي على أدوات تلقائية للتحقق من التزام الإعلانات وأصول النشاط التجاري" بسياسات المنصة (أي فيسبوك).

وتوضح فيسبوك أن "نظام مراجعة الإعلانات" يقوم "بمراجعة الإعلانات لفحص انتهاكها لأي من سياساتنا (فيسبوك)"، و"قد تتضمَّن عملية المراجعة هذه المكونات المحدَّدة للإعلان، مثل الصور ومقاطع الفيديو والنصوص ومعلومات الاستهداف، بالإضافة إلى الصفحة المقصودة المرتبطة بالإعلان أو الوجهات الأخرى، من بين معلومات أخرى".

وإذا كان المعلنون لملفات ضارة أو مخالفة للمعايير يقومون بوضعها في ملفات مضغوطة محمية بكلمة سر، من المرجح أن تفشل الأدوات التلقائية للفحص في اكتشافها. وهو ما يعد إخفاقاً كبيراً للآليات المستخدمة في إقرار الإعلانات، الأمر الذي لا يتصل بانتهاكات محدودة، بل بملفات تجسسية ضارة، يمكن أن تلحق أضراراً لا يمكن حصرها في أوساط الأشخاص الذين يتعرضون لإعلانات ظاهرها خدمات أو منتجات خرافية تحقق المستحيل للمستخدمين، وباطنها برمجيات خبيثة لا يقتصر ضررها على المستخدم، بل إن أحصنة طروادة ذات الصلة تحول جهاز الضحية إلى منطلق لاستهداف آخرين.

حتى مع التسليم بكون المتسللين قد استغلوا "المراجعة التلقائية" لبث محتوى ضار وخطير على فيسبوك، من غير المبرر أن تظل روابط هذه الملفات معروضة لأيام بل لأسابيع وشهور. سوى مزيد من الفشل في آليات الفحص وتتبع التهديدات على المنصة.

توصيات ونصائح

الشبكة اليمنية لتدقيق الحقائق، تدعو كافة رواد موقع التواصل الاجتماعي فيسبوك، إلى تجنب الإعلانات المضللة، وعلى رأسها التي تحتوي على روابط مشبوهة وغير معروفة، كما تدعو لمساءلة الجهات المعنية في فيسبوك عما وراء هذا الإخفاق.

كيف يمكن تقليل المخاطر في فيسبوك وغيره من مواقع التواصل؟

هناك العديد من الطرق للحماية في الشبكة العنكبوتية، تورد الشبكة اليمنية لتدقيق الحقائق أهمها على النحو التالي:

• تحقق من الرابط قبل النقر، إذا لم يكن هو الرابط الرئيسي للشركة صاحبة الإعلان، تجنب الدخول إليه.
• استخدم أحد برامج مكافحة الفيروسات، وخصوصاً على سطح المكتب، في الغالب تقوم البرامج المدفوعة بحماية أوسع، ولكن هناك برامج توفر الحد المعقول من متطلبات الحماية، مثل نسخة أفاست المجانية.
• احرص دوما على تحديث برامج مكافحة الفيروسات وعموم التطبيقات.
• إذا كنت تشعر أن جهازك يواجه مشاكل بالبطء والتحديث وغيرها، لا تتردد في عرضه على متخصص ليقوم بمراجعة التطبيقات المثبتة.
• قم دائماً بمراجعة الإضافات في متصفحات مثل كروم وإيدج وفايرفوكس، وحذف كل ما لا تحتاج إليه. الأمر نفسه لأي تطبيق مثبت على سطح المكتب أو على الهاتف.
• هناك أدوات مجانية يمكن أن تقوم بعمل فحص سريع للكمبيوتر منها على سبيل المثال: Malwarebytes AdwCleaner، أداة لا يزيد حجمها عن 10 ميجا بايت، يمكن تحميلها لفحص الحاسوب سريعاً، وحذف الأدوات المشبوهة.