Kötü amaçlı yazılım operatörleri, kötü amaçlı yazılımları popüler yazılım ürünleri arayan şüphesiz kullanıcılara yaymak için Google Reklam Platformunu giderek daha fazla kötüye kullanıyorlar.
Bu kampanyalarda taklit edilen ürünler arasında dilbilgisi, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μtorrent, Obs, Ring, Anydesk, Libre Office, TeamViewer, Thunderbird ve Brave bulunur.
Tehdit, yukarıdaki projelerin klon resmi web sitelerini ve kullanıcılar indirme düğmesini tıkladığında yazılımın gerçekleştirilmiş sürümlerini dağıtıyor.
Mağdur sistemlerine bu şekilde teslim edilen kötü amaçlı yazılımlardan bazıları, Raccoon Stealer'ın varyantları, Vidar Stealer'ın özel bir versiyonu ve buzlu kötü amaçlı yazılım yükleyicisini içerir.
BleepingComputer yakın zamanda bu tür kampanyalar hakkında rapor verdi ve 200'den fazla alan adını kullanan yazılım projelerini taklit eden büyük bir yazım hatası kampanyası açığa çıkarmaya yardımcı oldu. Başka bir örnek, kullanıcıları Redline Stealer ile enfekte etmek için sahte MSI Afterburner portallarını kullanan bir kampanyadır.
Bununla birlikte, eksik bir ayrıntı, kullanıcıların bu web sitelerine nasıl maruz kaldıkları, şu anda bilinen bir bilgi parçası.
Guardio Labs ve Trend Micro'dan iki rapor, bu kötü amaçlı web sitelerinin Google reklam kampanyaları aracılığıyla daha geniş bir kitleye tanıtıldığını açıklıyor.
Google Reklam Platformu, reklamverenlerin Google Arama'daki sayfaları tanıtmasına yardımcı olur ve bunları genellikle projenin resmi web sitesinin üstünde, reklamlar listesine yerleştirir.
Bu, etkin bir reklam engelleyicisi olmayan bir tarayıcıda meşru yazılım arayan kullanıcıların önce promosyonu göreceği ve gerçek arama sonucuna çok benzediği için tıklaması muhtemeldir.
Google, iniş sitesinin kötü niyetli olduğunu tespit ederse, kampanya engellenir ve reklamlar kaldırılırsa, bu nedenle tehdit aktörlerinin Google’ın otomatik çeklerini atlamak için bu adımda bir hile kullanması gerekir.
Guardio ve Trend Micro'ya göre, hile, reklamı tıklayan kurbanları tehdit oyuncusu tarafından oluşturulan alakasız ancak iyi huylu bir siteye götürmek ve daha sonra bunları yazılım projesini taklit eden kötü niyetli bir siteye yönlendirmektir.
Raporda Guardio Labs, “Bu“ gizlenmiş ”sitelerin hedeflenen ziyaretçiler tarafından ziyaret edildiği anda, sunucu bunları derhal haydut siteye ve oradan kötü amaçlı yüke yönlendiriyor” diye açıklıyor.
“Bu haydut siteler, gerçek tanıtım akışından ulaşamayan ziyaretçiler için, geyik, botlar, ara sıra ziyaretçiler ve elbette Google’ın politika uygulayıcılarına ulaşmayan gerçek promosyon akışından ulaşmayanlar için görünmezdir” - Guardio Labs
Zip veya MSI formunda gelen yük, GitHub, Dropbox veya Discord’un CDN'si gibi saygın dosya paylaşımı ve kod barındırma hizmetlerinden indirilir. Bu, kurbanın makinesinde çalışan herhangi bir anti-virüs programının indirmeye itiraz etmemesini sağlar.
Guardio Labs, Kasım ayında gözlemledikleri bir kampanyada, tehdit oyuncusu, kullanıcıları grammarly'nin rakun stealer'ı truva atan bir versiyonuyla çektiğini söyledi.
Kötü amaçlı yazılım meşru yazılımla birlikte toplandı. Kullanıcılar indirdiklerini alacaklar ve kötü amaçlı yazılım sessizce yükleyecekti.
Trend Micro’nun bir buzlu kampanyaya odaklanan raporu, tehdit aktörlerinin web sitesi ziyaretçisinin yeniden yönlendirmeden önce bir araştırmacı veya geçerli bir kurban olup olmadığını tespit etmek için Keitaro trafik yön sistemini kötüye kullandıklarını söylüyor. Bu TDS'yi kötüye kullanmak 2019'dan beri görülüyor.
Teşvik edilen arama sonuçları, tüm meşruiyet belirtilerini taşıdığı için zor olabilir. FBI son zamanlarda bu tür bir reklam kampanyası hakkında bir uyarı yayınladı ve internet kullanıcılarını çok dikkatli olmaya çağırdı.
Bu kampanyaları engellemenin iyi bir yolu, Web tarayıcınızdaki bir reklam bloğu etkinleştirmektir ve bu da Google aramasından tanıtılan sonuçları filtreler.
Başka bir önlem, aradığınız yazılım projesinin resmi alanını görene kadar aşağı kaydırmak olacaktır. Emin değilse, resmi etki alanı yazılımın Wikipedia sayfasında listelenir.
Kaynak güncellemeleri için belirli bir yazılım projesinin web sitesini sık sık ziyaret ederseniz, URL'yi yer imlerine eklemek ve bunu doğrudan erişim için kullanmak daha iyidir.
İndirmek üzere olduğunuz yükleyicinin kötü niyetli olabileceğinin yaygın bir işareti, anormal bir dosya boyutudur.
Faul oyunun bir başka net hediyesi, resmi olana benzeyebilen ancak addaki karakterleri veya “yazım hatası” olarak bilinen tek bir yanlış mektubu değiştiren indirme sitesinin alanıdır.
Pytorch, tatillerde kötü niyetli bağımlılık zinciri uzlaşmasını açıklar
Yeni Linux kötü amaçlı yazılım, arka kapı WordPress sitelerine 30 eklenti istismarı kullanıyor
Godfather Android kötü amaçlı yazılım 400 bankayı hedefliyor, kripto borsaları
Yeni Info-Stealer kötü amaçlı yazılım, sahte çatlak siteleri aracılığıyla yazılım korsanlarına bulaşır
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
Kaynak: Bleeping Computer