Tehdit aktörleri, kurbanları kötü amaçlı yazılım indirmeye teşvik etmek için kötü amaçlı web sitelerinin reklamlarını satın alıyor ve bu da sonuçta veri hırsızlığına ve fidye yazılımlarına yol açabilir.
Bu teknik, belirli hedef kitleler, coğrafi konumlar, IP adresi aralıkları, tarama geçmişi ve cihaz türleri gibi çok çeşitli kontroller sağladığından, arama motoru reklamları ve sosyal medya reklamları da dahil olmak üzere çeşitli reklam platformlarında kullanıldı.
Arama Motoru Reklamları Kötü Amaçlı Yazılım Sağlıyor
Cyber Security News ile paylaşılan raporlara göre, bu kötü amaçlı reklam kampanyalarının araştırılması sırasında dört farklı kötü amaçlı yazılım ailesi gözlemlendi:
- KAĞIT DAMLA – HTTPS ile iletişim kuran ve ayrıca DANABOT’u indirip çalıştıran VBScript tabanlı indirici.
- KAĞIT KAĞIT – VBScript tabanlı indiricinin yerel işlemlerin listesini numaralandırdığı gözlemlendi.
- DETAYLAR – Delphi’de yazılmış ve TCP üzerinden özel ikili protokol kullanan arka kapı.
- KARANLIK – Tuş vuruşlarını yakalama, komutları yürütme, dosya aktarımı ve kimlik bilgileri hırsızlığı yapabilen, Delphi’de yazılmış arka kapı.
Buna ek olarak, ikisinde cURL ikili dosyasının yeniden adlandırılmış bir sürümünü kullanan üç farklı dağıtım zinciri gözlemlendi.
Enfeksiyon Zinciri #1: PAPERDROP > DANABOT
Bu enfeksiyon zincirinde, wscript.exe işlemi bir DNS isteği başlatmak için kullanılır; bu istek daha sonra Windows kurulum yardımcı programı msiexec.exe’yi çalıştırır ve bir uygulamayı yükler. Ayrıca, damlalık DLL’sini yüklemek için rundll32.exe işlemini kullanır ve DANABOT yükünü başlatmak için “başlat” işlevini yürütür.
Enfeksiyon Zinciri #2: PAPERTEAR > YENİDEN ADLANDIRILMIŞ CURL > DARKGATE
Bu ikinci enfeksiyon zincirinde, PAPERTEAR indiricisi bilgi kataloğuna bir HTTP POST isteği başlatır.[.]8080 numaralı bağlantı noktası üzerinden resimler. Bundan sonra, wscript.exe, sonunda DARKGATE kötü amaçlı yazılımını kurbanın sistemine bırakan tek satırlık komutu yürütür.
Enfeksiyon Zinciri #3: PAPERDROP > YENİ ADLANDIRILMIŞ CURL > DANABOT
Üçüncü yürütme zinciri ikinciye benzer ancak burada PAPERDROP indiricisi, DANABOT kötü amaçlı yazılımını düşüren kötü amaçlı bir paket dosyasını indirmek ve yüklemek için yeniden adlandırılan curl.exe ikili dosyasını kullanan başka bir genişletilmiş tek satırlık dosyayı yürütür.
Ayrıca, kötü amaçlı yazılımların yetenekleri, yürütme yöntemleri, zincirler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
| Tip | Değer | Kampanya | Kötü Amaçlı Yazılım Ailesi | İlişkilendirme |
| İhtisas | www.claimprocessing[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | www.hazinebölümü[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | www.assetfinder[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | bul[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | hak talebinde bulunulmadı[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | hazine dairesi[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | www.myunclaimedcash[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | serbest arama[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | Sermaye bulucular[.]kuruluş | 23-046 | UNC2975 | |
| İhtisas | plano.soulcarelife[.]kuruluş | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | pittsburgh.soulcarelife[.]kuruluş | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | durham.soulcarelife[.]kuruluş | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | mesa.halibut[.]sbs | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | arlington.barracudas[.]sbs | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | Hendek[.]tepe | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | lewru[.]tepe | 23-046 | KAĞIT DAMLASI | UNC2975 |
| İhtisas | bilgi kataloğu[.]resimler | 23-046 | KARANLIK KAPI | UNC5085 |
| İhtisas | bisiklet üstü[.]mağaza | 23-046 | KARANLIK KAPI | UNC5085 |
| İhtisas | olumlu inceleme[.]bulut | 23-046 | KARANLIK KAPI | UNC5085 |
| İhtisas | dreamteamup[.]mağaza | 23-046 | KARANLIK KAPI | UNC5085 |
| İhtisas | naber[.]bulut | 23-046 | KARANLIK KAPI | UNC5085 |
| İhtisas | En iyi zaman[.]vızıltı | 23-046 | KARANLIK KAPI | UNC5085 |
| IP adresi | 47.253.165[.]1 | 23-046 | UNC2975 | |
| IP adresi | 8.209.99[.]230 | 23-046 | UNC2975 | |
| IP adresi | 47.252.45[.]173 | 23-046 | UNC2975 | |
| IP adresi | 47.252.33[.]131 | 23-046 | UNC2975 | |
| IP adresi | 47.253.141[.]12 | 23-046 | UNC2975 | |
| IP adresi | 47.252.45[.]173 | 23-046 | UNC2975 | |
| IP adresi | 34.16.181[.]0 | 23-046 | MEVCUT | |
| IP adresi | 35.247.194[.]72 | 23-046 | MEVCUT | |
| IP adresi | 35.203.111[.]228 | 23-046 | MEVCUT | |
| IP adresi | 94.228[.]169[.]143 | 23-051 | kağıtta | UNC5085 |
| MD5 | 9f9c5a1269667171e1ac328f7f7f6cb3 | 23-046 | KARANLIK KAPI | UNC5085 |
| MD5 | 2c16eafd0023ea5cb8e9537da442047e | 23-046 | KAĞIT DAMLA (Tip I) | UNC2975 |
| MD5 | 7544f5bb88ad481f720a9d9f94d95b30 | 23-046 | KAĞIT DAMLA(Tip I) | UNC2975 |
| MD5 | 862a42a91b5734062d47c37fdd80c633 | KAĞIT DAMLA(Tip II) | UNC2956 | |
| MD5 | 650b0b12b21e9664d5c771d78738cf9f | kağıtta | UNC5085 | |
| MD5 | 9120c82b0920b9db39894107b5494ccd | 23-051 | kağıtta | UNC5085 |