Bilgisayar korsanları, Google Reklamlarını kullanımlarında daha sofistike hale geldi. Saygın yazılım ürünleri veya diğer araçları ararken, şüphelenmeyen kullanıcılara kötü amaçlı yazılım yaymak için platformu kullanıyorlar.
Bu kampanyanın bir parçası olarak, aşağıdaki ürünlerin taklitleri yapılmıştır:-
- dilbilgisi
- MSI Afterburner
- Gevşek
- Dashlane
- Malwarebytes
- küstahlık
- mikroTorrent
- OBS
- Yüzük
- Herhangi Bir Masa
- Özgür Ofis
- ekip görüntüleyici
- yıldırım kuşu
- Cesur
Kötü Amaçlı Yazılım Dağıtıldı Google Reklamları aracılığıyla
Tehdit aktörleri bu yazılım projelerinin resmi web sitelerini klonlamakta ve kullanıcılar indir butonuna tıkladıklarında yazılımın kötü niyetli sürümleri kullanıcıya dağıtılmaktadır.
Bu, aşağıdakiler gibi çeşitli kötü amaçlı yazılım varyantlarının teslim edilmesine neden olabilir:-
- Rakun Hırsızı
- Vidar Stealer’ın özel bir versiyonu
- IcedID kötü amaçlı yazılım yükleyicisi
Devasa bir yazım hatası dolandırıcılığının sonucu olarak, son zamanlarda yazılım projelerini taklit eden yüzlerce alan adı tespit edildi.
Kullanıcılara kötü amaçlı yazılım bulaştıran RedLine hırsızının ek bir örneğinde, enfeksiyonu yaymak için sahte MSI Afterburner portalları kullanılır.
Bu, eksik olan bir bilgiydi, yani kullanıcıların bu web sitelerine nasıl maruz kaldığı ve bu artık uzmanların ortaya çıkarabileceği bir şey.
Google Reklamlarını Kötüye Kullanmak
Guardio Labs ve Trend Micro’daki güvenlik araştırmacılarına göre, Google Adwords aracılığıyla yapılan pazarlama kampanyalarının, bu kötü amaçlı web sitelerini daha geniş bir kitleye tanıtmak için sıklıkla kullanıldığı tespit edildi.
Reklamverenler, sayfalarını Google AdWords aracılığıyla Google Arama’da tanıtabilir, bu da onları reklam olarak sonuç listesinin en üstüne yerleştirir.
Ayrıca, bir projenin resmi web sitesi genellikle sayfanın üzerinde görünen reklamlarla çevrilidir.
Promosyon, aktif bir reklam engelleyicisi olmayan bir tarayıcıda meşru yazılım arayan kullanıcıların karşısına çıkacak, kısacası bu onlar için daha görünür olacaktır.
Bu, gerçek arama sonuçlarına çok benzer göründüğü için insanların onu tıklamasına yol açar, bu nedenle tıklama olasılıkları daha yüksektir.
Google, kötü amaçlı açılış sayfaları içerdiği tespit edilen kampanyaları engelleyeceği gibi, kampanyayla ilişkili reklamları da kaldıracaktır.
Bu nedenle, Google’ın otomatik kontrollerini atlamak için tehdit aktörleri, hedeflerine ulaşmak için bu adımda bir numara kullanmalıdır.
Tehdit aktörü, reklama tıklayarak kurbanları, tehdit aktörlerinin kendileri tarafından oluşturulmuş zararsız ancak alakasız bir web sitesine yönlendirebilir. Bir sonraki adımda, lütfen onları projenin web sitesini taklit eden kötü niyetli bir web sitesine yönlendirin.
Yükü ZIP veya MSI biçiminde teslim eden birkaç saygın dosya paylaşım ve kod barındırma sitesi vardır ve bunlar şunları içerir: –
- GitHub
- Dropbox
- Discord’un CDN’si
Bunu yaparak, kurbanın bilgisayarındaki herhangi bir virüsten koruma programının kurbanın işini yapmasını engellememesini sağlar.
Google’a ve hiçbir zaman görmeyecek olan ziyaretçiye görünmeyen “masquerAd” sitesinin sunucu tarafına iletildiğini belirtmekte fayda var.
Meşru yazılımın yüklenmesi sırasında, kötü amaçlı yazılım paketin bir parçası olarak eklenmiştir. Sessiz bir kötü amaçlı yazılım yüklemesi olur ve kullanıcılar indirdiklerini alır.
Tüm meşruiyet görünümlerini taşıdıkları için, hedeflenen arama sonuçlarının güvenilir olup olmadığını belirlemek zor olabilir.
Web tarayıcınızda bir reklam engelleyiciyi etkinleştirmek, Google Arama’dan size tanıtılan belirli sonuçları filtrelediğinden, bu kampanyaları engellemenin iyi bir yoludur.
Belirli bir yazılım projesi için güncellemeler almanız gerektiğinde doğrudan erişebilmek için sık kullandığınız web sitesinin bir URL’sine yer işareti koymak daha iyi olur.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin