Mandiant ve Google Cloud’dan siber güvenlik araştırmacıları, bilgisayar korsanlarının kötü amaçlı kampanyalar yürütmek için dijital reklam araçlarını kullandıkları karmaşık bir planı ortaya çıkardı.
Başlangıçta pazarlama çabalarını artırmak için tasarlanan bu araçlar, tehdit aktörleri tarafından tespit edilmekten kaçınmak ve saldırılarını güçlendirmek için yeniden kullanıldı.
Bu makalede siber suçluların kullandığı yöntemler, istismar ettikleri araçlar ve bu tür tehditlere karşı savunma stratejileri ele alınmaktadır.
Bağlantı kısaltıcılar, IP coğrafi konum yardımcı programları ve CAPTCHA teknolojileri gibi dijital reklamcılık araçları, modern pazarlama stratejilerinin ayrılmaz bir parçasıdır.
Pazarlamacıların kullanıcı etkileşimini izlemelerine, belirli demografik özelliklere odaklanmalarına ve çevrimiçi içerikle gerçek insan etkileşimini sağlamalarına yardımcı olurlar. Ancak, bilgisayar korsanları bu araçları kötü niyetli amaçlara hizmet etmek için kullanmışlardır.
Bağlantı Kısaltıcılar: İki Tarafı Keskin Bir Kılıç
Bit.ly gibi bağlantı kısaltıcılar internette her yerde bulunur hale geldi. URL’leri basitleştirirken ve tıklama oranlarını izlerken, kötü amaçlı faaliyetler için bir örtü de sağlıyorlar.
Bilgisayar korsanları bu hizmetleri, kimlik avı sitelerinin ve kötü amaçlı yazılım dağıtım noktalarının URL’lerini gizlemek için kullanırlar.
Örneğin UNC1189 adlı tehdit grubu, 2022 yılında kurbanlarını bulut depolama alanında barındırılan kimlik avı belgelerine yönlendirmek için bağlantı kısaltıcıları kullandı.
Reklam verenlerin kampanyalarının coğrafi etkisini analiz etmek için sıklıkla kullandığı IP coğrafi konum araçları, saldırganlar tarafından kötü amaçlı yazılımların yayılmasını izlemek ve kullanıcının konumuna göre koşullu olarak kötü amaçlı eylemler yürütmek için kullanılıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Google Cloud’un raporuna göre, bu taktik, Kraken fidye yazılımıyla ilgili kampanyalarda görüldüğü gibi, bilgisayar korsanlarının tespit edilmekten kaçınmasını ve kurbanları seçici bir şekilde hedeflemesini sağlıyor.
CAPTCHA: Kalkanın Silaha Dönüşmesi
İnsanlar ile botlar arasında ayrım yapmak için tasarlanan CAPTCHA teknolojileri, siber suçlular tarafından kötü amaçlı altyapılarını korumak amacıyla manipüle ediliyor.
Saldırganlar, CAPTCHA zorluklarını uygulayarak otomatik güvenlik araçlarının kimlik avı sitelerine erişmesini önleyebilirken, gerçek kurbanların ilerlemesine olanak tanıyabilir.
Kötü Amaçlı Reklamcılık: Siber Suçta Yeni Bir Sınır
Kötü amaçlı reklamcılık veya Malvertising, bilgisayar korsanları tarafından kullanılan bir diğer taktiktir. Tehdit aktörleri, meşru reklam kampanyalarını taklit ederek şüphelenmeyen kullanıcıları kötü amaçlı sitelere çekebilir.
Başarılı reklam stratejilerine ilişkin içgörüler sağlayan rekabet istihbarat araçları, saldırganlar tarafından kampanyalarını iyileştirmek ve reklam ağı filtrelerini aşmak için kullanılıyor.
Dijital reklam araçlarının bilgisayar korsanları tarafından kötüye kullanılması, çevrimiçi güvenlik için önemli bir tehdit oluşturmaktadır.
Bu araçlar daha karmaşık hale geldikçe, siber suçluların taktikleri de aynı şekilde gelişiyor. Kuruluşlar ve bireyler, bu gelişen tehditlere karşı korunmak için sağlam güvenlik önlemleri kullanarak bilgili ve uyanık kalmalı.
Saldırganların yöntemlerini anlayarak ve etkili savunmalar uygulayarak, bu kötü amaçlı kampanyaların oluşturduğu riskleri azaltabiliriz.
Uzlaşma Göstergeleri
| Dosya adı | MD5 | Tanım |
| Advanced_IP_Scanner_v.3.5.2.1.zip | 5310d6b73d19592860e81e4e3a5459eb | Kötü amaçlı arşiv dosyası |
| URL | IP Adresi | Tanım |
| hxxps://ktgotit[.]com | 172.67.216[.]166 (Cloudflare Ağ Bloğu) | Kötü amaçlı reklam açılış sayfası |
| hxxps://aadvanced-ip-tarayıcı[.]com | 82.221.136[.]1 | Gizlenmiş yem sayfası |
| hxxps://britanniaeat[.]com/wp-içerir /Advanced_IP_Scanner_v.3.5.2.1.zip |
3.11.24[.]22 (Amazon Ağ Bloğu) | Kötü amaçlı yazılım indirme URL’si |
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial