Mandiant ve Google’dan araştırmacılar, siber suçluların kötü amaçlı kampanyalarını güçlendirmek için dijital analiz ve reklam araçlarını nasıl yeniden kullandıklarını ortaya çıkardı.
Genellikle pazarlamacılar ve reklamverenler tarafından hedefli içerik sunmak için kullanılan bu araçlar, tespit edilmekten kaçınmak ve siber saldırıların etkisini artırmak için silah olarak kullanılıyor.
Siber suçlular, potansiyel kurbanları çeken yüksek trafikli anahtar kelimeleri belirleyerek kötü amaçlı reklam kampanyalarını iyileştirmek için giderek daha fazla Arama Motoru Pazarlaması (SEM) araçlarını kullanıyor.
Tıpkı meşru pazarlamacılar gibi, bu tehdit aktörleri de hangi reklam anahtar kelimelerinin en fazla kullanıcı etkileşimini sağladığını analiz ederek işe başlar.
Örneğin, rekabetçi bir istihbarat aracından alınan veriler, Haziran 2024’te birden fazla etki alanında “gelişmiş ip tarayıcı” anahtar kelimesine bağlı reklamların yaklaşık 220.000 tıklama ürettiğini ortaya koydu.
Özellikle iki alan adı, “ktgotit[.]com” ve “advanced-ip-scanner[.]Daha önce önemli miktarda trafik oluşturan “.com”, Haziran 2024’te hiçbir aktivite göstermedi ancak aynı anahtar kelimelerle ilişkili kalmaya devam etti.
Siber suçlular, bu verileri geçmiş reklamlarla ilişkilendirerek, bu alan adlarına bağlı etkili reklamları kötü amaçlı kampanyaları için şablon olarak belirleyebilir ve böylece SEM araçlarının kötü niyetli amaçlar için nasıl kullanıldığını gösterebilir.
Bağlantı Kısaltıcıların Silahlandırılması
Bit.ly gibi bağlantı kısaltıcılar, 2000 yılı civarında ortaya çıktıklarından beri dijital dünyanın vazgeçilmezi haline geldi. Genellikle tıklama oranlarını izlemek ve karmaşık URL’leri basitleştirmek için kullanılsalar da siber suçlular bu araçları istismar etmenin yollarını buldular.
Mandiant’ın araştırması, tehdit aktörlerinin kötü amaçlı URL’leri gizlemek ve saldırının ilk aşamalarında kurbanları yönlendirmek için bağlantı kısaltıcıları nasıl kullandığını ortaya koyuyor.
Dikkat çeken olaylar arasında, kullanıcıları aldatmak ve kötü amaçlı yazılım dağıtmak için bu kısaltılmış bağlantıları kullanan kimlik avı kampanyaları ve kötü amaçlı reklamcılık çabaları yer alıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
IP Coğrafi Konum Yardımcı Programları Kötüye Kullanıldı
Reklam kampanyalarının coğrafi erişimini belirlemek için tasarlanan IP coğrafi konum belirleme araçları da saldırganlar tarafından kötüye kullanılıyor.
Bu araçlar, siber suçluların kötü amaçlı yazılımlarının yayılmasını izlemelerine ve saldırılarını kurbanın konumuna göre uyarlamalarına olanak tanır.
Örneğin Kraken Fidye Yazılımı, enfeksiyon oranlarını izlemek için coğrafi konum verilerini kullanırken, diğer kötü amaçlı yazılım çeşitleri tespit edilmekten kaçınmak için davranışlarını kurbanın IP adresine göre ayarlıyor.
CAPTCHA Teknolojisi İstismar Edildi
İnsan kullanıcılar ile botlar arasında ayrım yapmayı amaçlayan CAPTCHA teknolojisi, siber suçlular tarafından kötü amaçlı altyapılarını korumak amacıyla kullanılıyor.
CAPTCHA zorluklarını uygulayarak saldırganlar, otomatik güvenlik araçlarının kimlik avı sayfalarına erişmesini ve bunları analiz etmesini önleyebilir. Bu taktik, insan olmayan trafiği elemelerine olanak tanırken, insan kurbanların kötü amaçlı içeriğe erişebilmesini sağlar.
Bu Tehditlere Karşı Savunma
Uzmanlar, meşru uygulamaları nedeniyle bu araçların kullanımının tamamen engellenmesinin pratik olmadığını söylüyor. Bunun yerine, kuruluşlar tespit ve azaltma stratejilerine odaklanmalıdır.
Bunlara şüpheli kalıplar için ağ telemetrisinin izlenmesi, bağlantı kısaltıcıların otomatik analizinin uygulanması ve CAPTCHA ve coğrafi konum kötüye kullanımı için tespit stratejilerinin iyileştirilmesi dahildir.
Pazarlamacılar reklam kampanyalarını yürütürken reklam içeriği, hedef demografi, coğrafi konum ve zamanlama gibi çeşitli faktörleri göz önünde bulundururlar.
Stratejilerini geliştirmek için genellikle rakiplerin reklamlarını, anahtar kelimelerini ve açılış sayfalarını analiz etmek amacıyla AdBeat, Google ve Meta depoları gibi rekabet istihbarat araçlarını kullanırlar.
Ancak tehdit aktörleri bu araçları kötü amaçlı reklam kampanyaları oluşturmak için de kullanabilirler; buna kötü amaçlı reklamcılık denir.
Google Ads araştırmacılarının incelediği gerçek bir vaka örneğinde görüldüğü gibi, saldırganlar bu araçlardan elde edilen içgörülerden yararlanarak kötü amaçlı reklam kampanyalarını etkili bir şekilde hazırlayıp yürütebiliyor.
Dijital araçlar gelişmeye devam ettikçe, siber suçluların taktikleri de gelişiyor. Kuruluşların bu yeni ortaya çıkan tehditler hakkında bilgi sahibi olmaları ve güvenlik önlemlerini buna göre uyarlamaları hayati önem taşıyor. Bu araçların nasıl istismar edilebileceğini anlayarak, savunmacılar ortamlarını daha iyi koruyabilir ve bu karmaşık siber saldırıların oluşturduğu riskleri azaltabilir.
Bu tehditlere karşı nasıl korunacağınız hakkında daha fazla bilgi edinmek için Perplexity News web sitesindeki detaylı analizimizi inceleyin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial