Bilgisayar korsanları, arama motoru sıralamalarını değiştirmek ve kötü amaçlı veya sahte web sitelerini daha görünür hale getirmek için siyah şapka SEO yöntemlerini kullanır.
Son zamanlarda, Zscaler siber güvenlik araştırmacıları, tanınmış web barındırma hizmetlerinde ve blog platformlarında barındırılan, aktörlerin SEO zehirlenmesi ve kötü amaçlı yazılım dağıtımı için kullandığı tehdit eden bir dizi dolandırıcılık sitesi gördü.
Meşru barındırma platformlarını kullanmak, saldırganların hızlı bir şekilde SEO zehirleme saldırıları gerçekleştirmesine olanak tanır ve zararlı içeriğin arama sonuçları sayfalarındaki sıralamasını yapay olarak yükseltir.
Aşağıdaki web sitesi yasal görünüyor; ancak, arama sonuçlarını kullanarak insanları kötü amaçlı yazılım indirmeye yönlendiren kötü amaçlı yazılım taşır.
Düşmanlar, barındırma hizmetleri tarafından fark edilmeyen sahte siteler oluşturur.
.webp)
Kullanıcılar arama yaptıklarında ve bağlantılara tıkladıklarında farkında olmadan kötü amaçlı sitelere yönlendiriliyorlar. Güvenlik analizine tabi tutulabileceği için muhtemelen doğrudan URL erişimini atlıyorlar.
Bu siteler yönlendirme URL’lerini kontrol eder ve arama motorlarından geliyorsa devam ederler. Ancak herhangi bir yönlendirme olmaksızın doğrudan erişim söz konusu ise araştırmacıların tespitinden kaçma yoluna gitmemelidirler.
Zscaler araştırmacısı, gizli bir komut dosyasının yönlendireni incelediğini ve dizelerin birleşimine ve mantığını gizleyen matematiksel işlemlere dayanarak yeniden yönlendirdiğini söyledi.
Kırık yazılım arayan kişilere yöneliktir ve onlara Weebly’de barındırılan, gerçek gibi görünen ancak çatlak yerine kötü amaçlı yazılım sunan sahte MediaFire sayfalarını gösterir.
.webp)
İlk bakışta aynı gibi görünse de, MediaFire olmayan sahte URL, sahtecilik kapsamına giriyor.
İndirilen veri, şifre korumalı ZIP arşivlerine sahiptir ve şifre bir görüntüde gizlenerek tespitten kaçınılır.
Yükleyici, DLL yan yüklemesini kullanarak meşru GPG (GNU Privacy Guard) yazılımının yanına kötü amaçlı bir DLL bırakır.
.webp)
Belgelenmemiş API çağrıları yoluyla süreci boşaltıp kötü amaçlı kod enjekte ederek explorer.exe’yi başlatır.
Explorer.exe, PowerShell’i gizlenmiş argümanlarla çalıştırırken, yürütmeden önce değiştirme, Base64 kod çözme ve XOR işlemlerini içeren kod çözme işlemine tabi tutulan kodlanmış bir komut dosyası indirir.
Çoklu gizleme katmanları, kötü amaçlı etkinlikleri gizler. Değiştirilen Base64 dosyasının kodu, tespit edilmekten kaçınmak için özel karakter değişimine tabi tutulduktan sonra çözülür.
Kodlanmış bölümler ve kendi şifresini çözen komut dosyalarıyla çok katmanlı gizlemeyi içerir.
Çalıştırıldığında, zararlı tarayıcı eklentilerini yükleyen ve onlar için de dosyaları bırakan bir kısayol oluşturur.
Rundll32.exe tarafından yürütülen kötü amaçlı yükleri indiren komut ve kontrol sunucularıyla (C2’ler) iletişim kurar.
Bu uzantı, filtrelemeyi gerçekleştirmeden önce, blockchain.info’da bir Bitcoin adresi aracılığıyla C2 alanını ararken tarayıcılardan, sistemden ve kullanıcı bilgilerinden büyük miktarda veri çalar.
Aşağıda, kötü amaçlı uzantı tarafından toplanan veri türlerinden bahsettik: –
- Sistem bilgisi
- Tarayıcı çerezleri
- Tarayıcı parmak izleri
- Kimlik bilgileri
- Makine bilgileri
- Tarayıcı uzantıları
- Uzantı izinleri
- Kurabiye
- Tarayıcı geçmişi
Kampanya, Black Hat SEO yoluyla arama motorlarını zehirleyerek ve kötü amaçlı yazılım dağıttığına inanılan sahte web siteleri kullanarak kullanıcıların güvenini kötüye kullanıyor.
Saldırganların amacı, arama sonuçlarını manipüle ederek para kazanmaktır, dolayısıyla bunu önlemek için şüpheli web sitelerinden yazılım indirmemek ve bunları yalnızca güvenilir kaynaklardan almak gerekir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo