Kötü amaçlı reklam kampanyaları genellikle mağdurları yazılım satıcısı sitelerin neredeyse mükemmel kopyalarıyla kandırır.
Tehdit aktörleri, kurbanlarını kolayca kandırmak ve kötü niyetli amaçlarına ulaşmak için aşağıdaki gibi popüler yazılım satıcılarını hedef alır:
Malwarebytes’teki siber güvenlik araştırmacıları yakın zamanda WindowsReport’u taklit eden kötü amaçlı bir kampanya tespit etti[.]Kötü amaçlı bir CPU-Z yükleyicisini dağıtmak için com portalı. Hedeflenen site, aşağıdakileri arayan meraklıların ve yöneticilerin ilgisini çekmektedir: –
- Bilgisayar incelemeleri
- Bilgisayar ipuçları
- Bilgisayar yazılımı
Bu kötü niyetli kampanyada, bilgisayar korsanları, kötü amaçlı yazılım dağıtmak için kötü amaçlı reklamlarla Windows kullanıcılarını aktif olarak hedefliyor.
Bilgisayar korsanları Windows kullanıcılarını kandırıyor
Tehdit aktörleri Windows Raporunun içeriğini aldatıcı amaçlarla kopyaladı ancak portal hâlâ güvenli.
Bu, aşağıdaki gibi yardımcı programları hedefleyen daha geniş bir kötü amaçlı reklam kampanyasının parçasıdır: –
Bunun yanı sıra, Malwarebytes’teki siber güvenlik analistleri, Google’ı bu olay hakkında derhal yayından kaldırılması konusunda uyardı.
Scott Cooper’ın muhtemelen sahte veya saldırıya uğramış adını kullanan bir reklamveren, Windows programı CPU-Z için yanıltıcı bir reklamda görünüyor.
Tehdit aktörleri tespit edilmekten kaçınmak için gizlemeyi kullanır. Hedeflenmeyen tıklamalar standart bir blogu gösterirken, mağdurlar için “kurumsal iletişim”[.]çevrimiçi” sitesi “çalışma alanı uygulamasına” yönlendiriyor[.]çevrimiçi.”
WindowsReport’a benzeyen bir taklit etki alanı[.]com, CPU-Z arayan kullanıcıları yanıltıyor. İndirme sayfası yasal görünebilir ancak URL eşleşmiyor.
Kötü amaçlı reklamcılık faaliyetlerinin bir parçası olarak 74.119.192.188 IP adresinde çeşitli alanlar barındırılmaktadır. Bunun dışında imzalı bir MSIX yükleyicisi olan payload’a FakeBat yükleyiciyle birlikte kötü amaçlı bir PowerShell betiği dahil ediliyor.
Aktör, kullanıcıların genellikle bu tür sitelerden yardımcı programlar indirmesi nedeniyle Windows Report’u taklit etti. İmzalı MSI yükleyicisi meşruluğu artırır ve bir PowerShell betiğinin değiştirilmesiyle MSI yükleyicileri son veride basit değişiklikler sağlar.
Kuruluşlarda, bir dosyanın sağlama toplamını SHA256 karma toplamı aracılığıyla doğrulamak, dosyanın satıcının web sitesiyle eşleşerek kusursuz olmasını sağlayabilir.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
IOC’ler
Reklam Alanları
- argenferia[.]iletişim
- gerçekvnc[.]profesyonel
- kurumsalcomf[.]çevrimiçi
- cilrix şirketi[.]profesyonel
- Thecoopmodel[.]iletişim
- Winscp-apps[.]çevrimiçi
- Wireshark uygulaması[.]çevrimiçi
- cilrix-kurumsal[.]çevrimiçi
- çalışma alanı uygulaması[.]çevrimiçi
Yük URL’leri
- Thecoopmodel[.]com/CPU-Z-x86.msix
- kaotik sözleşme[.]bilgi/hesap/hdr.jpg
- ıvcgroup[.]/temp/Citrix-x64.msix içinde
- robot-iddia[.]site/sipariş/team.tar.gpg
- argenferia[.]com/RealVNC-x64.msix
Yükler
- 55d3ed51c3d8f56ab305a40936b446f761021abfc55e5cc8234c98a2c93e99e1
- 9acbf1a5cd040c6dcecbe4e8e65044b380b7432f46c5fbf2ecdc97549487ca88
- 419e06194c01ca930ed5d7484222e6827fd24520e72bfe6892cfde95573ffa16
- cf9589665615375d1ad22d3b84e97bb686616157f2092e2047adb1a7b378cc95
C2’ler
- 11234jkhfkujhs[.]alan
- 11234jkhfkujhs[.]tepe
- 94.131.111[.]240
- 81.177.136[.]179
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamasının otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.