Tehdit aktörleri, benzer alan adları kullanarak marka kimliğine bürünme olayını ikiye katlıyor.
Tehdit aktörlerinin, kullanıcıları kandırmak amacıyla popüler markaların kimliğine bürünmeleriyle biliniyor. Yakın zamanda yapılan bir kötü amaçlı reklam kampanyasında, açık kaynaklı şifre yöneticisi KeePass için son derece aldatıcı, kötü amaçlı bir Google reklamı gözlemledik. Daha önce, izleme şablonları olarak bilinen bir özellik nedeniyle marka kimliğine bürünmelerin bugünlerde ne kadar yaygın bir olay olduğunu bildirmiştik, ancak bu saldırı ek bir aldatma katmanı kullandı.
Kötü niyetli aktörler, gerçek KeePass sitesiymiş gibi görünmek için özel bir karakter kodlaması olan Punycode’u kullanan, taklit uluslararası hale getirilmiş bir alan adını kaydettirdiler. İki site arasındaki fark görsel olarak o kadar ince ki, şüphesiz birçok insanı kandıracak.
Bu olayı Google’a bildirdik ancak reklamın halen yayınlanmakta olduğu konusunda kullanıcıları uyarmak istiyoruz.
KeePass için kötü amaçlı reklam
Kötü amaçlı reklam, popüler açık kaynaklı şifre yöneticisi ‘keepass’ için Google’da arama yaptığınızda ortaya çıkıyor. Reklam, resmi Keepass logosunu ve URL’sini içerdiği ve meşru web sitesinin organik arama sonucundan önce yer aldığı için son derece aldatıcıdır.
Sadece reklama bakarak bunun kötü amaçlı olduğuna dair hiçbir fikriniz olmaz.
Şekil 1: KeePass için kötü amaçlı reklam ve ardından meşru organik arama sonucu
Reklama tıklayan kişiler, sanal alanları, botları ve gerçek kurban olarak kabul edilmeyen herkesi filtrelemeyi amaçlayan bir gizleme hizmeti aracılığıyla yönlendirilecek. Tehdit aktörleri, keepasstacking’de geçici bir alan oluşturdu[.]nihai hedefe koşullu yönlendirmeyi gerçekleştiren site:
Şekil 2: Reklama tıklandığında yapılan yönlendirmelerin sırasını gösteren ağ trafiği
ķeepass.info
Yukarıdaki ağ trafiği günlüğüne baktığımızda, hedef sitenin Unicode karakterleri ASCII’ye dönüştürmek için özel bir kodlama olan Punycode’u kullandığını görebiliriz. Aldatma, doğru web sitesinde olduklarını doğrulamak isteyebilecek kullanıcılar için tamamlandı.
Şekil 3: Neredeyse fark edilmeyen farklı bir yazı tipine sahip sahte KeePass sitesi
Çok az fark edilse de ‘k’ harfinin altında küçük bir karakter var. Uluslararasılaştırılmış alan adını dönüştürerek bunu onaylayabiliriz. xn--eepass-vbb[.]bilgi ile pençe geçişi[.]bilgi:
Şekil 4: Punycode’u ASCII’ye dönüştürme
Kötü amaçlı indirmelere yönelik site bağlantılarının tuzağına düşme
Tuzak sitesi gerçeğinin tam bir kopyası olmasa da yine de oldukça ikna edici görünüyor:
Şekil 5: Meşru siteyi (solda) sahte siteyle (sağda) karşılaştırma
KeePass’ı indirmek isteyen kurbanlar, dijital olarak imzalanmış kötü amaçlı bir .msix yükleyicisine ulaşacak:
Şekil 6: Geçerli bir dijital imzayı gösteren kötü amaçlı MSIX yükleyicisi
Yükleyicinin içeriğinin çıkarılması, FakeBat kötü amaçlı yazılım ailesine ait kötü amaçlı PowerShell kodunu ortaya çıkarır:
Şekil 7: MSIX yükleyicisinin içeriği
Bu komut dosyası, kötü amaçlı yazılımın komuta ve kontrol sunucusuyla iletişim kurarak, insan tehdit aktörleri tarafından gelecekte yapılacak keşiflere zemin hazırlayacak bir yük indirmeden önce yeni kurbanın reklamını yapıyor.
Şekil 8: MSIX yükleyicisinin yürütülmesini gösteren işlem görünümü
Daha karmaşık bir tehdit
Uluslararasılaştırılmış alan adlarına sahip Punycode, tehdit aktörleri tarafından yıllardır kurbanlara kimlik avı yapmak için kullanılıyor olsa da, kötü amaçlı reklam yoluyla marka kimliğine bürünme bağlamında ne kadar etkili kaldığını gösteriyor. Kullanıcılar önce tamamen meşru görünen Google reklamlarıyla, sonra da benzer bir alan adı aracılığıyla aldatılıyor.
Son zamanlarda belirttiğimiz gibi, arama motorları aracılığıyla yapılan kötü amaçlı reklamcılık giderek daha karmaşık hale geliyor. Son kullanıcılar için bu, programları nereden indirdiğinize ve bunlardan kaçınmanız gerektiğine çok dikkat etmenin çok önemli hale geldiği anlamına gelir. Bir iş ortamında, BT yöneticilerinin, çalışanların yazılım yükleyicilerini güvenli bir şekilde alabilecekleri dahili depolar sağlamasını öneririz.
Uzlaşma Göstergeleri
Reklam alanı/yönlendirmesi
keepasstacking[.]site
Sahte KeePass sitesi
xn--eepass-vbb[.]info
Kötü amaçlı KeePass indirme URL’si
xn--eepass-vbb[.]info/download/KeePass-2.55-Setup.msix
Kötü amaçlı KeePass yükleyicisi
181626fdcff9e8c63bb6e4c601cf7c71e47ae5836632db49f1df827519b01aaa
Kötü amaçlı yazılım C2
756-ads-info[.]xyz
Yük
refreshmet[.]com/Package.tar.gpg
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE