Bilgisayar Korsanları Arc Tarayıcının Popülerliğini Kötü Amaçlı Reklamlarla İstismar Ediyor

   Mayıs 28, 2024  Posted in CyberSecurityNews


Bilgisayar Korsanları, Kötü Amaçlı Google Arama Ağı Reklamlarıyla Arc Tarayıcının Popülaritesinden Yararlanıyor

Google Chrome yıllardır baskın web tarayıcısı olmuştur; bu nedenle, merkezi Silikon Vadisi’nde bile olmayan, The Tarayıcı Şirketi adlı bir girişimin “internet penceresine yeni bir bakış açısı” sunması şaşırtıcı gelebilir. .”

Arc tarayıcısı Temmuz 2023’ten bu yana MacOS için mevcut ancak Windows sürümü yalnızca iki hafta önce yayınlandı.

Benzersiz olan, Arc’ın etrafındaki heyecan ve nispeten kısa bir süre içinde kazandığı parlak yorumlardır.

Arc Tarayıcı Sektörden Ödül Kazandı

Tarayıcı Şirketi, tarayıcıya getirdiği yeni yaklaşımla büyük ses getirdi.

Hiç şüphe yok ki abartılı reklam, kullanıcıların benimsemesinde büyük bir faktördür, ancak en iyi yayınlardan alınan incelemeler de büyük bir itici güçtür.

ThreatDown raporlarına göre Arc tarayıcısının Mac sürümü zaten mevcutken, Windows sürümü yalnızca birkaç hafta önce duyuruldu.

ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service

Araştırmacılar, resmi logo ve web sitesiyle tamamen meşru görünen, Arc tarayıcısını taklit eden bir reklam kampanyası gözlemledi.

“Arc installer” veya “arc tarayıcı pencereleri” araması aşağıdaki iki reklamın gösterilmesiyle sonuçlandı: Sahte Arc Tarayıcı Reklamı Google’ın Reklam Şeffaflık Merkezi’ni kullanarak bunları Ukrayna’daki aşağıdaki reklamverene bağladım.

Reklam Şeffaflık Merkezi
Reklam Şeffaflık Merkezi

Tehdit aktörü, kurbanların yönlendirileceği alan adlarını zaten kaydettirdi. Şablon, Windows sürümünü kutlayan bazı haber başlıklarını bile içeriyor.

Sahte Arc Tarayıcı Web Sitesi
Sahte Arc Tarayıcı Web Sitesi

Kötü Amaçlı Yazılım Yükü

Bu web sitelerinden “Arc for Windows”u indirdiğinizde, kötü amaçlı yazılım indiriyorsunuz. Bu durumda tehdit aktörü, kötü amaçlı yazılımlarını paketlemek için daha önce görülmemiş benzersiz bir yöntem kullandı.

Ana yükleyici (ArcBrowser.exe), iki yürütülebilir dosyayı daha içeren bir yürütülebilir dosyadır. Yemin bir parçası olarak meşru Arc yazılımı için bir Windows yükleyicisi alınacak.

Ark Kurulumu
Ark Kurulumu

Arka planda Arc.exe, geliştiricinin API’si aracılığıyla MEGA bulut platformuyla iletişim kurar. Tehdit aktörü, veri göndermek ve almak için MEGA’yı bir komut ve kontrol sunucusu olarak kullanıyor.

İlk sorgu, tehdit aktörünün kimliğini doğrular (yopmail’den tek kullanımlık bir e-posta adresi kullanıyorlar):

https://g[.]api[.]mega[.]co[.]nz/cs?id=[]
[{"a":"us0","user":"vivaldi.dav@yopmail[.]com"}]

Bunu, muhtemelen kullanıcı verileriyle kodlanmış bir dizi sorgu ve yanıt takip eder.

Sırada, bir sonraki aşama yükünün indirilmesi için uzak bir siteye yapılan istek var:

theflyingpeckerheads[.]com/bootstrap.exe

Bu veri yürütüldüğünde, kötü amaçlı kodu gizleyen sahte bir PNG görüntüsünü alır:

theflyingpeckerheads[.]com/924011449.png
uçanpeckerheads png
uçanpeckerheads png

Araştırmacılar, JRWeb.exe olarak diske bırakılan başka bir veri yükü daha alıyorlar. Bu örnek üzerinde çalışırken, bootstrap.exe dosyasının PNG dosyasını almayan başka bir sürümünü gördüm.

Bu dosya aynı yerden, aynı adla ancak farklı boyutta indirildi. Bu ikinci sürüm, tıpkı önceki sürümde olduğu gibi, MSBuild.exe’ye kod enjekte etmek için meşru bir Python çalıştırılabilir dosyası kullanıyor.

C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe

Bu noktada, kötü amaçlı yazılım, kötü amaçlı bir IP adresini (muhtemelen başka bir komut ve kontrol sunucusu) almak için bir yapıştırma sitesini sorgulayacaktır:

https://textbin[.]net/raw/it4ooicdbv

Macun ilk olarak Şubat ayında oluşturuldu ve 4,5 bin görüntülemeye sahip.

Siteyi Yapıştır
Siteyi Yapıştır

Yükün, daha önceki benzer saldırılara dayalı olarak bir bilgi hırsızını düşürmesi muhtemeldir.

ThreatDown’un müşterileri, kötü amaçlı bootstrap.exe işleminin tespit edilmesi sayesinde zaten korunmaktadır.

kötü amaçlı bootstrap.exe
kötü amaçlı bootstrap.exe

En iyi sosyal mühendislik saldırılarından bazıları, tanınmış markaların kullanıcıları cezbetmesiyle gerçekleşir.

Araştırmacılar, farklı türden mağdurları hedef alan kötü amaçlı reklamlar aracılığıyla marka kimliğine bürünme vakalarına tanık oldu.

Bununla birlikte, çevrimiçi suçlular aynı zamanda trend olan daha yeni markalardan da yararlanacak ve Arc, birçok insanın denemek isteyeceği yeni bir yazılım parçasının mükemmel bir örneğidir.

Sponsorlu sonuçlar konusunda son derece dikkatli olmak her zamankinden daha önemli.

Çoğu zaman bir reklamın yasal olup olmadığını belirlemenin kolay bir yolu yoktur.

Suçlular, tespit edilmekten kaçabilecek ve bir dizi adımla tehlikeye yol açabilecek kötü niyetli yükleyiciler oluşturabilir.

Neyse ki, bir dizi olay gerçek bir saldırıya bağlanabileceği için Uç Nokta Tespiti ve Yanıtı (EDR) bu noktada da faydalı olabilir.

IOC’ler:

Yem siteleri

ailrc[.]net
aircl[.]net

Malicious Arc yükleyicisi

ArcBrowser.exe
3e22ed74158db153b5590bfa661b835adb89f28a8f3a814d577958b9225e5ec1

Arc.exe, yasal Arc Tarayıcısı için Windows yükleyicisini aracılığıyla yükler.

revomedia[.]com/Arc.appinstaller

Takip yükü

theflyingpeckerheads[.]com/bootstrap.exe
b8ae9aa480f958312b87877d5d44a9c8eac6a6d06a61ef7c51d4474d39357edb
34f4d749af50678a0bda6f38b0c437de3914a005f0d689aa89769c8c9cb8b264

Bootstrap.exe PNG’yi şuradan indirir:

theflyingpeckerheads[.]com/924011449.png
018dba31beac15518027f6788d72c03f9c9b55e0abcd5a96812740bcbc699304

Nihai yük

JRWeb.exe
6c30c8a2e827f48fcfc934dd34fb2cb10acb8747fd11faae085d8ad352c01fbf

C2

185.156.72[.]56

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hacker



Source link