Bilgisayar Korsanları Kötü Amaçlı Reklamlarla Windows Kullanıcılarını Kandırıyor


Bilgisayar Korsanları Kötü Amaçlı Yazılım Sunmak İçin Windows Kullanıcılarını Kötü Amaçlı Reklamlarla Kandırıyor

Kötü amaçlı reklam kampanyaları genellikle mağdurları yazılım satıcısı sitelerin neredeyse mükemmel kopyalarıyla kandırır.

Tehdit aktörleri, kurbanlarını kolayca kandırmak ve kötü niyetli amaçlarına ulaşmak için aşağıdaki gibi popüler yazılım satıcılarını hedef alır:

DÖRT

Malwarebytes’teki siber güvenlik araştırmacıları yakın zamanda WindowsReport’u taklit eden kötü amaçlı bir kampanya tespit etti[.]Kötü amaçlı bir CPU-Z yükleyicisini dağıtmak için com portalı. Hedeflenen site, aşağıdakileri arayan meraklıların ve yöneticilerin ilgisini çekmektedir: –

  • Bilgisayar incelemeleri
  • Bilgisayar ipuçları
  • Bilgisayar yazılımı

Bu kötü niyetli kampanyada, bilgisayar korsanları, kötü amaçlı yazılım dağıtmak için kötü amaçlı reklamlarla Windows kullanıcılarını aktif olarak hedefliyor.

Bilgisayar korsanları Windows kullanıcılarını kandırıyor

Tehdit aktörleri Windows Raporunun içeriğini aldatıcı amaçlarla kopyaladı ancak portal hâlâ güvenli.

Windows Rapor Klonu (Kaynak – Malwarebytes)

Bu, aşağıdaki gibi yardımcı programları hedefleyen daha geniş bir kötü amaçlı reklam kampanyasının parçasıdır: –

Bunun yanı sıra, Malwarebytes’teki siber güvenlik analistleri, Google’ı bu olay hakkında derhal yayından kaldırılması konusunda uyardı.

Scott Cooper’ın muhtemelen sahte veya saldırıya uğramış adını kullanan bir reklamveren, Windows programı CPU-Z için yanıltıcı bir reklamda görünüyor.

Yanıltıcı reklam (Kaynak – Malwarebytes)

Tehdit aktörleri tespit edilmekten kaçınmak için gizlemeyi kullanır. Hedeflenmeyen tıklamalar standart bir blogu gösterirken, mağdurlar için “kurumsal iletişim”[.]çevrimiçi” sitesi “çalışma alanı uygulamasına” yönlendiriyor[.]çevrimiçi.”

Web sitesi yönlendirmesi (Kaynak – Malwarebytes)

WindowsReport’a benzeyen bir taklit etki alanı[.]com, CPU-Z arayan kullanıcıları yanıltıyor. İndirme sayfası yasal görünebilir ancak URL eşleşmiyor.

Kötü amaçlı reklamcılık faaliyetlerinin bir parçası olarak 74.119.192.188 IP adresinde çeşitli alanlar barındırılmaktadır. Bunun dışında imzalı bir MSIX yükleyicisi olan payload’a FakeBat yükleyiciyle birlikte kötü amaçlı bir PowerShell betiği dahil ediliyor.

MSIX yükleyicisi (Kaynak – Malwarebytes)

Aktör, kullanıcıların genellikle bu tür sitelerden yardımcı programlar indirmesi nedeniyle Windows Report’u taklit etti. İmzalı MSI yükleyicisi meşruluğu artırır ve bir PowerShell betiğinin değiştirilmesiyle MSI yükleyicileri son veride basit değişiklikler sağlar.

Kuruluşlarda, bir dosyanın sağlama toplamını SHA256 karma toplamı aracılığıyla doğrulamak, dosyanın satıcının web sitesiyle eşleşerek kusursuz olmasını sağlayabilir.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


IOC’ler

Reklam Alanları

  • argenferia[.]iletişim
  • gerçekvnc[.]profesyonel
  • kurumsalcomf[.]çevrimiçi
  • cilrix şirketi[.]profesyonel
  • Thecoopmodel[.]iletişim
  • Winscp-apps[.]çevrimiçi
  • Wireshark uygulaması[.]çevrimiçi
  • cilrix-kurumsal[.]çevrimiçi
  • çalışma alanı uygulaması[.]çevrimiçi

Yük URL’leri

  • Thecoopmodel[.]com/CPU-Z-x86.msix
  • kaotik sözleşme[.]bilgi/hesap/hdr.jpg
  • ıvcgroup[.]/temp/Citrix-x64.msix içinde
  • robot-iddia[.]site/sipariş/team.tar.gpg
  • argenferia[.]com/RealVNC-x64.msix

Yükler

  • 55d3ed51c3d8f56ab305a40936b446f761021abfc55e5cc8234c98a2c93e99e1
  • 9acbf1a5cd040c6dcecbe4e8e65044b380b7432f46c5fbf2ecdc97549487ca88
  • 419e06194c01ca930ed5d7484222e6827fd24520e72bfe6892cfde95573ffa16
  • cf9589665615375d1ad22d3b84e97bb686616157f2092e2047adb1a7b378cc95

C2’ler

  • 11234jkhfkujhs[.]alan
  • 11234jkhfkujhs[.]tepe
  • 94.131.111[.]240
  • 81.177.136[.]179

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamasının otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link