Siber suçluların, Windows için yaygın olarak kullanılan Notepad++ metin düzenleyicisini hedeflemek amacıyla kötü amaçlı reklam tekniklerinden yararlandıkları bilinmektedir. Bu, fidye yazılımlarının ve kötü amaçlı yazılımların yayılmasına yol açabilir.
Bu kötü amaçlı reklamcılık çabalarında tehdit aktörleri Google reklamlarından yararlanıyor.
Malwarebytes’e göre en az birkaç ay boyunca tespit edilmekten tamamen kurtulmuş görünüyor. Kullanıcıların parmak izini alma ve zamana duyarlı yükleri dağıtma yeteneği bakımından benzersizdir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Notepad++’ı Hedefleyen Kötü Amaçlı Reklam Kampanyaları
Araştırmacılar, aynı tehdit aktörü tarafından ancak güvenliği ihlal edilmiş farklı reklam hesaplarından dağıtılan kötü amaçlı reklamları keşfetti.
İlk tarama adımı, kullanıcı bu reklamlardan birine tıkladığında gerçekleşir. Bu muhtemelen VPN’leri ve diğer sahte IP adreslerini yok sayan ve sahte bir site görüntüleyen bir IP kontrolüdür.
Bununla birlikte, hedeflenen kullanıcılar, notepadxtreme’de barındırılan orijinal Notepad++ web sitesinin bir kopyasını görecektir.[.]com.
Bir kullanıcı indirme bağlantısını tıkladığında, JavaScript kodu, filtrelemenin ikinci adımı olarak sistem parmak izini çalıştırır.
Burada kullanılan kötü amaçlı yazılım farklı ve daha gelişmiş olmasına rağmen, bazı kötü amaçlı reklam kampanyalarının emülatörlerin veya sanal bilgisayarların varlığını kontrol ettiği gözlemlenmiştir.
Testlerden herhangi birinin eşleşmemesi durumunda kullanıcı resmi Notepad++ web sitesine gönderilir. Her olası kurbana, yükü indirebilmeleri için ayırt edici bir kimlik veriliyor.
Her indirmeyi farklı ve sınırlı bir süreye sahip hale getirmenin yanı sıra, benzersiz kimlik muhtemelen izleme amacıyla da kullanılıyor.
Bu kötü niyetli reklam kampanyasının yükü bir.hta betiğidir. Dosyayı aynı URL’den indirmeye çalışırsanız 404 hatasıyla karşılaşır.
Araştırmacılar, “Bunun, tehdit aktörlerinin Cobalt Strike gibi araçları kullanarak kurbanların makinelerine erişim sağlamak için kullandıkları kötü amaçlı altyapının bir parçası olduğuna inanıyoruz” dedi.
Öneri
Sonuç olarak, son birkaç ayda kötü amaçlı reklamcılık çabalarının hem kapsamında hem de karmaşıklığında bir artış fark edildi. Zararlı reklamları takip etmek, tehdit aktörlerinin kullandığı altyapıyı hızlı bir şekilde tanımamıza ve derhal durdurmamıza olanak tanır.
Kötü amaçlı yazılım dağıtım zincirini takip etmek, mevcut güvenlik önlemlerini aşmak için kullanılabilecek yeni yöntemleri keşfetmemize ve tespitlerimizi buna göre güncellememize olanak tanır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.