Siber güvenlik araştırmacıları, kötü amaçlı Google Ads aracılığıyla dağıtılan Fakebat kötü amaçlı yazılım yükleyicisinin yeniden ortaya çıktığını ortaya çıkardı. Aylarca süren bir aradan sonra Fakebat yeniden ortaya çıktı ve popüler üretkenlik yazılımı arayan kullanıcılara odaklandı.
Malwarebytes, yaygın olarak kullanılan bir üretkenlik uygulaması olan Notion’un kimliğine bürünen kötü amaçlı bir Google reklamı tespit etti.
Reklam, arama sonuçlarının en üstünde göründü ve resmi logosu ve web sitesiyle tamamen meşru görünüyordu. Ancak buna tıklamak, sonunda Fakebat kötü amaçlı yazılımını yaymadan önce kullanıcıları bir dizi yönlendirmeden geçirdi.
Eugenloader veya PaykLoader olarak da bilinen Fakebat, en az Aralık 2022’den beri aktif olan gelişmiş bir hizmet olarak yükleyici (LaaS) kötü amaçlı yazılımıdır.
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
IcedID, Lumma ve RedLine gibi bilgi hırsızları da dahil olmak üzere çeşitli ikincil yükleri indirmek ve yürütmek için tasarlanmıştır.
Malwarebytes raporuna göre, kötü amaçlı yazılımın dağıtım yöntemi, algılamayı atlamak için izleme şablonlarını kullanarak Google’ın reklam platformundan yararlanıyor.
Kullanıcı amaçlanan hedef değilse meşru web sitesine yönlendirilir ve bu da Google’ın kötü amaçlı etkinliği tanımlamasını zorlaştırır.
Fakebat kurulduktan sonra algılama ve korumalı alan ortamlarından kaçınmak için PowerShell komut dosyalarının birden fazla aşamasını kullanır. Bu kampanyadaki son yük, LummaC2 Stealer olarak tanımlandı.
Fakebat’ın bu yeniden dirilişi, kötü amaçlı reklamcılık kampanyalarının kalıcı tehdidini vurguluyor. Bu tür saldırılarda son zamanlarda görülen bir azalmaya rağmen, siber suçlular bu kanıtlanmış yöntemlere hızla geri dönebilmektedir.
Bu olay, ikna edici sahte reklamlar oluşturmak için yerleşik özelliklerden yararlanılabilen Google Ads’te marka kimliğine bürünme konusunda süregelen zorluğun altını çiziyor.
Siber güvenlik uzmanları, iyi bilinen yazılımlar için bile arama motoru reklamlarına tıklarken dikkatli olmanın önemini vurguluyor. Kullanıcılara indirme kaynaklarının orijinalliğini doğrulamaları ve bu tür tehditlere karşı koruma sağlamak için güncel güvenlik yazılımı bulundurmaları önerilir.
Fakebat kampanyası, kötü amaçlı reklamların dalgalanma göstermesine rağmen, kötü amaçlı yazılım dağıtımı için önemli bir vektör olmaya devam ettiğini vurguluyor. Tehdit aktörleri taktiklerini geliştirirken, kullanıcıların ve platformların bu karmaşık kimliğe bürünme tekniklerine karşı tetikte olması gerekiyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!