Araştırmacılar, grafik tasarım profesyonellerini hedeflemek için Google Arama reklamlarından yararlanan bir tehdit aktörünün iki belirli IP adresinde barındırılan en az 10 kötü amaçlı reklam kampanyası başlattığını tespit etti: 185.11.61[.]243 ve 185.147.124[.]110, burada bu kötü amaçlı reklamlar tıklandığında kullanıcıları kötü amaçlı indirmeleri başlatan web sitelerine yönlendirir.
185.11.61.243 ve 185.147.124.110 olmak üzere iki IP adresi, kötü amaçlı bir grafik tasarım/CAD kötü amaçlı reklam kampanyasıyla ilişkilendirilmiştir. İlk IP adresi 29 Temmuz 2024’ten bu yana etkindir ve şu anda 109 benzersiz alan adını barındırmaktadır.
![185.11.61 ile eşlenen alan adlarının ekran görüntüsü[.]243](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjUB3Ax4FqpVyEqQxDnPd3pRKFf4hKtzDWseM0KGbKeutMeTx_3PMIVMrFNYI6Su8LzxGazMULA2qcShy-AOFKd0cacGbFIOEvu_JwbfmdK9qu_19rAMZKw00FMLFlG8mC19yOoVOqSNfjWu7YMiEXiyLdDIkf-zptHhPgQwdLY-Yi9QwogV1wroX-Ccoy/s2145/google-malvertising-screenshot-1-185-11-61-243.webp)
İkinci IP adresi ise yakın zamanda 25 Kasım 2024’te etkinleştirildi ve şu anda 85 benzersiz alan adını barındırıyor. Bu adresler, muhtemelen güvenliği ihlal edilmiş web siteleri ve reklamlar aracılığıyla kötü amaçlı yükleri dağıtmak için kullanılıyor.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
13 Kasım 2024’te başlatılan kötü amaçlı reklam kampanyasında frecadsolutions kullanıldı[.]com, 185.11.61’de barındırıldı[.]243.
Ardından 14 Kasım 2024’te benzer bir kampanya frecadsolutions’da başlatıldı.[.]cc, kötü amaçlı indirmeler için Bitbucket’tan yararlanıyor.
26 Kasım 2024’te freecad çözümleri konusunda yeni bir kampanya ortaya çıktı[.]net, başlangıçta 185.11.61’de barındırıldı[.]243 ve sonrasında 185.147.124’e geçiş[.]110, 185.11.61 IP adresine bağlı[.]243, aldatıcı reklamlar yoluyla kötü amaçlı yazılım dağıtmaya yönelik koordineli bir çabayı gösteriyor.
![Freecad çözümleri üzerinde üçüncü bir kötü amaçlı reklam kampanyası başlatıldı[.]açık](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbRgWNc_CQKyskTr5JNuZRl8O5soFbJ4KoaIO_YCEsFS4ukUMxAJWpdxPOQQSj3vg6wtn4shQHxt4fy5_VJrD-Hx3I-5gLvuR58Ml055p24EVvftHS0NOsEmtiMlcpHlE9B5JdL8TktOVtOtUssJQ7aH_9m46j-bE8_mbf0cbVqT6FvQHd-qopeWPob4wy/s1469/google-malvertising-image-5-campaign-3-freecad-solutions-net.webp)
27 Kasım 2024’te, daha önce 185.11.61.243’te barındırılan frecadsolutions.org ve rhino3dsolutions.io alanlarının 185.147.124.110’a taşındığı bir dizi kötü amaçlı reklam kampanyası başlatıldı.
Bu kötü amaçlı alanlar, reklam ağlarındaki güvenlik açıklarından yararlanarak kullanıcıları kötü amaçlı web sitelerine yönlendirebildi; bu da, kötü amaçlı yazılım içeren sistemleri potansiyel olarak tehlikeye atabilir.
Son dönemdeki kötü amaçlı reklamcılık kampanyaları, birden fazla alan adı ve IP adresinden yararlandı; kötü amaçlı faaliyetler 17 Kasım’da rhino3dsolutions ile başladı.[.]net 185.11.61’de barındırıldı[.]243.
![Dokuzuncu kötü amaçlı reklam kampanyası onshape3d ile başlatıldı[.]kuruluş](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzen8eNCjArv0fbUTEdJESVSRcvH7-h2LqKKCyMNp6AZYT5_lVXNLpbiJSknZSDuF5_m9TpxmLEiLJw7mSAV8ulnqa1wrH0ZHTZwOm4h8fbLJTy2s_L5_QSzcSoOq50U37yvhf0nvb8u8VdODhw04MbKZcZxUcTI0QXpQ9-MV7vBs41-cUlnjxnZbNTp_o/s1281/google-malvertising-image-11-campaign-9-onshape3d-org.webp)
Alan adı daha sonra 185.147.124’e taşındı[.]110, 26 Kasım’da yeni bir kötü amaçlı reklam kampanyası başlatıyor.
Daha sonra planner5design[.]1-6 Aralık tarihleri arasında aynı IP adresinde barındırılan net, iki ayrı kötü amaçlı reklam kampanyası başlattı.
Daha yakın zamanda, 1 Aralık’tan bu yana 185.147.124.110’da barındırılan onshape3d.org, 9 Aralık’ta kendi kötü amaçlı reklam kampanyasını başlattı.
![Frecad3dmodeling ile onuncu kötü amaçlı reklam kampanyası başlatıldı[.]kuruluş](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhImfmTGJRnao0S-YW-6AflDeITDhHqzkg_BwdGLHA75r4r-7iQopVEQE9Pc1Q32akju13GZmrKjaGt8uatz7Q0-d0-28X0lqS7N2iaEx6luitJwqxkZF6475YE198EZ-0dlI4wOoTq-SI1MKz8Df2YD5HRXUYC2DnzSfK61MYTef6UjzAHchowmNVQOH1/s720/google-malvertising-image-12-campaign-10-frecad3dmodeling-org.webp)
8 Aralık 2024’te kötü niyetli bir aktör frecad3dmodeling’i barındırdı[.]185.147.124 IP adresindeki org alan adı[.]110, daha sonra 10 Aralık 2024’te başlatılan bir kötü amaçlı reklam kampanyasında kullanıldı.
Silent Push’a göre, kampanyanın amacından haberi olmayan kullanıcılara kötü amaçlı yükler dağıtmak için web tarayıcılarındaki veya reklam ağlarındaki güvenlik açıklarından büyük olasılıkla yararlanıldı.
Sağlanan liste, muhtemelen bir tehdit aktörü tarafından kontrol edilen ve zararlı reklamları dağıtmak için bu kaynaklardan yararlanan kötü amaçlı bir reklam altyapısıyla ilişkili IP adreslerini ve etki alanlarını içerir.
Bu reklamlar potansiyel olarak kötü amaçlı yazılım bulaşmasına, kimlik avı saldırılarına veya diğer siber tehditlere yol açabilir.
Kuruluşların ve bireylerin bu kaynaklardan gelen içeriklerle etkileşimde bulunurken dikkatli olmaları ve riskleri azaltmak için sağlam güvenlik önlemleri almaları tavsiye edilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin