Google Ads'in geniş kullanıcı kitlesine sahip büyük bir platform olması, birçok hedefe aynı anda ulaşmak isteyen tehdit aktörleri için cazip hale getiriyor.
Bu kötü amaçlı reklamlar aynı zamanda kötü amaçlı yazılımları, kimlik avı dolandırıcılıklarını ve diğer kötü amaçlı içerikleri etrafa yaymak için oluşturulabilir veya meşru reklamlar ele geçirilebilir.
Google Ads'deki karmaşık reklam hedefleme seçenekleri, bilgisayar korsanlığı gruplarının belirli demografik özellikleri, yerleri veya ilgi alanlarını özel olarak hedeflemesine olanak tanır ve bu da başarı şansını artırır.
Google Ads'in tıklama başına ödeme modeli, tıklama sahtekarlığı veya reklam bütçelerinin tüketilmesi gibi sahtekarlık eylemleri için kullanılabilir. Google Ads sektörünün karmaşıklığı ve yaygın erişimi göz önüne alındığında, bu tür tehditleri tespit etmek ve önlemek zordur.
AhnLab Güvenlik İstihbarat Merkezi (ASEC), yakın zamanda bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için Google Ads İzleme özelliğinden aktif olarak yararlandığını keşfetti.
Bilgisayar korsanları Google Ads Takibini İstismar Ediyor
AhnLab, Notion ve Slack gibi popüler grup yazılımı yükleyicileri gibi görünen ve Google Ads izleme yoluyla dağıtılan kötü amaçlı yazılımları keşfetti. Yürütülmesinin ardından saldırgan sunuculardan kötü amaçlı yükler getirir.
Tanımlanan kötü amaçlı dosya adları şunları içerir: –
- Notion_software_x64_.exe
- Slack_software_x64_.exe
- Trello_software_x64_.exe
- GoodNotes_software_x64_32.exe
.webp)
Reklam örneğinde kullanıcılardan gizlenen bir izleme URL'si gösterilmektedir. Görünür banner'ın tıklanması, kullanıcıları görüntülenen nihai URL yerine gizli izleme şablonu URL'sine yönlendirir.
.webp)
Bilgisayar korsanları, web sitesi trafik analizi için tasarlanan Google Ads izleme özelliğini, meşru analizler yerine kötü amaçlı bir siteden kötü amaçlı yazılım dağıtmak için kötüye kullandı.
Etkin olduğunda, kötü amaçlı reklam, tıklayanları, kaldırılmadan önce sahte beyanlarla zararlı dosyaları indirmeye yönlendiriyordu.
Aşağıda yönlendirme adresinden bahsettik: –
1. hxxps://www.googleadservices[.]com/pagead/aclk? sa=L&ai=DChcSEwjvxY_g38yEAxX96RYFHbN_DHwYABAAGgJ0bA&ase=2&gclid=CjwKCAiArfauBhApEiwAeoB7qFTSv58y3y V4nTuE_ptW9t-YIT1- Y_jH70VIcuKX3qsNu9u5d2TplRoCKDwQAv D_BwE&ohost=www.google.com&cid=CAESVeD21RQt4fRwNUkcEV8_EYQ96O MpQS8F7ZevrgG_k_jZewow_akDRbQ3vK-L7r7Z7yVUCyf4YKpyZrJCjoIkJjEcGbU1LviHlcWC8x9hRsFbAGy8Sbc&sig=AOD 64_3Ho3r-SX_3edPZOWfLXPSWeCY1SQ&q&nis=6&adurl&ved=2ahUKEwibkYng38yEAxWScPUHHRJlCjAQ0Qx6BAgFEAE
2. hxxps://pantovawy.page[.]link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
3.hxxps://cerisico[.]açık/
Aşağıda son açılış sayfasından bahsettik: –
- hxxps://notione.my-apk[.]iletişim
Son açılış sayfası, meşru grup yazılımı sitelerini taklit ederek ziyaretçileri kötü amaçlı yazılımı indirmeleri ve çalıştırmaları için kandırdı.
Kötü amaçlı yazılım, yürütme sonrasında Tinyurl.com ve textbin.net gibi metin paylaşım sitelerinden kötü amaçlı yük adresleri getirdi.
Bu paylaşılan URL'ler daha sonra slashidot.org, yogapets.xyz,bookpool.org ve birdarid.org gibi güvenliği ihlal edilmiş alanlarda barındırılan gerçek kötü amaçlı yazılım indirme bağlantılarını sağlayarak çok aşamalı bulaşma sürecini tamamladı.
Kötü amaçlı bağlantılardan alınan Rhadamanthys infostealer kötü amaçlı yazılımı, dialer.exe, openwith.exe, dllhost.exe ve rundll32.exe gibi meşru Windows %system32% dosyalarına enjekte edilir.
Güvenilir ikili dosyalar aracılığıyla çalıştırmak, özel verileri gizlice çalmasına olanak tanır.
Bu vaka, saldırganların kötü amaçlı yazılım dağıtmak için Google Ads'ten ve diğer arama motoru reklam takibinden yararlandığını doğruluyor. Kullanıcılar sitelere erişirken URL'yi dikkatlice doğrulamalı ve reklamı yapılan banner URL'sine güvenmemelidir.
IoC'ler
MD5'ler
- 9437c89a5f9a51a4ff6d6076083fa6c9
- 12b6229551fbb1dcb2823bc8b611300f
- 33aa3073d148816e9e8de0af4f84582e
- f0a3499f83d2d9066ab19d39b9af6696
- 2498997ab3e66e24bc08d044e0ef4418
- f2590ece758eb32302c504ac3ff413f4
- eef03c8cd2f27ead8b2d59d5cda4cf6e
- 9034cf58867961cde08a20cb1057c490
- f7200603cb8aa9e2b544255ed848c9c0
URL'ler
- hxxp://tinyurl[.]com/4jnvfsns
- hxxp://tinyurl[.]com/4a3uxm6m
- hxxps://textbin[.]net/ham/oumciccl6b
- hxxp://tinyurl[.]com/mrx7263e
- hxxp://tinyurl[.]com/253x7rnn
- hxxps://slashidot[.]org/@abcDP.exe
- hxxps://yogapetler[.]xyz/@abcmse1.exe
- hxxps://kitap havuzu[.]org/@Base.exe
- hxxp://birdarid[.]org/@abcDS.exe
- hxxps://alternatifdavranışsalkavramlar[.]org/databack/notwin.php
- hxxps://pantovawy.page[.]link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
- hxxps://cerisico[.]açık/
Dosya Algılama
- Trojan/Win.Agent.C5595056 (2024.02.29.02)
- Trojan/Win.Agent.C5592526 (2024.02.23.02)
- Trojan/Win.Agent.C5594794 (2024.02.28.03)
- Truva Atı/Win.Rhadamanthys.R636740 (2024.02.27.00)
Davranış Tespiti
- Enjeksiyon/MDP.Event.M10231
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.