תוכנת פרסום זדונית ישראלית התגלתה במחשבי מק

חוקר בחברת הסייבר הישראלית סייבריזון איתר תוכנת פרסום זדונית (adware) שמיועדת למחשבי מק, מתקינה את עצמה ללא רשות וחושפת את המשתמש לפרצות אבטחה חמורות. במקביל הנוזקה משתילה פרסומות וגורמת להאטת ביצועי המחשב האישי. החוקר, עמית סרפר, טוען כי האחראית לפיתוח התוכנה הזדונית היא חברת סטארט-אפ ישראלית מתל אביב בשם TargetingEdge.

על פי סרפר, היקף הפעילות של התוכנה הזדונית, המכונה Pirrit, מגיע למימדים מפלצתיים: התוכנה הצליחה להשיג אלפי אישורים מאפל תוך שימוש בפרטי זהות שונים בכדי לאפשר את פעילותה על מחשבי מק, מבלי שתעלה למשתמש הודעה כאילו מדובר בתוכנה לא מוכרת. סרפר טוען כי אישורים אלה, המכונים סרטיפיקטים או חתימות קוד, ניתנים לרכישה מאפל בתמורה ל-99 דולר, תך הצגת צילום של דרכון או תעודת זהות. לטענתו, לאפל אין כל דרך לדעת האם התעודה מזויפת או לא. ובכל זאת, אפל מספקת בתמורה תעודת אבטחה המאפשרת לכל תוכנה שקיבלה אותה לפעול ללא הפרעה על גבי מחשביה.

"לטארגטינג אדג' היו מאות שמות ישראלים על חתימות הקוד, וכשהיית מנסה לעקוב אחריהם ולחפש את שמותיהם ברשתות החברתיות, היית מגלה אנשים שאין להם כל קשר לתעשיית המחשבים", אומר סרפר ל'כלכליסט'. סרפר יצר קשר עם אפל והתרשם מחוסר האונים של היצרנית אל מול מפיצת התוכנה שהצליחה להוציא גרסה חדשה שלה ולקבל חתימת קוד כל פעם שהקודמת בוטלה על ידה.

לקריאת הפרסום של סרפר לחצו כאן

השגת חתימות האבטחה של אפל היו רק שלב ראשון במכונה המשומנת של תוכנת Pirrit שעיקר מטרתה להשתיל פרסומות במחשב האישי, בצירוף מנגנונים שמגדילים באופן מלאכותי את נתוני החשיפה על חשבונו של המשתמש. בצורה זו, יכולה פיריט להציג למפרסמים נתוני חשיפה גדולים ממה שאירע בפועל. "מדובר במנגנון השתלת פרסומות שטרם נראה", אומר סרפר.

"פיריט לא רק מסתפקת בהשתלה של פרסומות למחשב האישי, היא גם מתקינה שרת מתווך (פרוקסי) על גבי המחשב ומעבירה דרכו תעבורה משלה מבלי שהמשתמש מודע לכך או יכול להתגונן מפניו. היא יוצרת משתמשים וירטואלים שמדמים צפייה בפרסומות, מה שמאט מאוד את פעילות המחשב, ובנוסף מסירה באופן אוטומטי תוכנות מתחרות לה". לטענת סרפר, התוכנה מתקינה את עצמה מבלי הודעה למשתמש, רק באמצעות פעולת פתיחת תוכנת ההתקנה פעם אחת על ידי המשתמש, ואינה ניתנת להסרה בכלים רגילים, ומן הסתם גם לא מפרסמת הוראות להסרתה.

עמית סרפר. היקף הפעילות של התוכנה הזדונית מפלצתי | צילום: ריוג׳י סוזוקי

עוד טוען סרפר כי אין להקל בפוטנציאל הנזק של תוכנות הפרסום באופן כללי, תוכנות שלא נתפסות על ידי חברות סייבר כבעלות יכולת להזיק באופן ממשי למערכות המחשוב. "התוקפים מזהים את הגישה הזו כלפי תוכנות פרסום ומכניסים לתוכנות הללו רכיבים שהופכים אותן לדומות יותר לנוזקות".

עד כה חברות ישראליות שייצרו תוכנות פרסום זדוניות, משתילי פרסומות, תוספים חינמיים וסרגלי כלים סבלו מנחת זרועם של גוגל ומיקרוסופט, כל אחת וסיבותיה עמה. גוגל משום שתוכנות אלה עשו שימוש זדוני בפיד הפרסומות של גוגל, ומיקרוסופט על שיבוש הפעילות של מחשבי ווינדוס. חברות כמו טארגטינג' אדג' משתמשות בפיד פרסום שאינו שייך למותג גדול ולכן אינן נמצאות ברדאר של ענקיות האינטרנט.

את הקשר הישראלי לתוכנה גילה סרפר לגמרי במקרה. הוא שמע על תוכנת הפרסום הזדונית והחליט לחקור את מקורותיה, אך כשבדק את הבעלות על אתרי החברה ועל השרתים, לא גילה דבר. רק לאחר מספר חודשים קיבל לידיו קובץ של אחת מגרסאותיה ממשתמש שביקש להסיר את התוכנה והתייעץ עמו. בו מצא במקרה לגמרי את חתימת שמו של אחד העובדים בחברה. השם העברי עורר את תשומת ליבו של סרפר שאחרי חיפוש פשוט ברשתות החברתיות הגיע אל TargetingEdge.

בנוסף, קושר סרפר בפרסומים השונים את החברה גם ל-Feature Forward הישראלית של מייסדי TLV Media. ואכן, בדיקה ברשם החברות מגלה כי החברות חולקות כמה בעלי מניות משותפים כמו אוהד גליקסמן, עופר זינגר וגילי סהר, שלושה בכירים ב-Feature Forward. אלא שבחברות מכחישים קשר שכזה.

מאוהד גליקסמן נמסר כי "השלושה הם בעלי מניות מיעוט בחברת טארגטינג אדג'. לאור הכתבה אנחנו בוחנים את המשך הקשר עם החברה. אין קשר בין Feature Forward לבין חברת TargetingEdge".

מיקי באלין מבעלי טארגטינג אדג' מסר ל'כלכליסט': "קראנו את פרסום יחסי הציבור המסחרי של חברת Cybereason. מעבר לאי הדיוקים השזורים לאורכו ולרוחבו של הפרסום, חשוב לציין כי הקוד המדובר אינו פיתוחה של חברת TargetingEdge, אלא של חברה ממזרח אירופה. אנחנו ממשיכים לבדוק את פרטי הפרסום המלאים והטכניים לעומק, לרבות, שרבוב שמן של חברות נוספות אשר הוזכרו בפרסום ולהן שום קשר מסחרי לפעילותה של TargetingEdge וזאת למעלה משנה וחצי. בסיום תהליך בדיקה זה, נחליט כיצד לפעול ונשקול את המשך ההתקשרות עם החברה המפתחת".