Güneydoğu ve Doğu Asya’daki Çince konuşan kişiler, güvenliği ihlal edilmiş makinelere FatalRAT gibi uzaktan erişim truva atları sağlayan yeni bir haydut Google Ads kampanyasının hedefleridir.
ESET bugün yayınlanan bir raporda, saldırıların, popüler uygulamaları arayan kullanıcıları truva atı bulaşmış yükleyicileri barındıran hileli web sitelerine yönlendiren Google arama sonuçlarında görünmek için reklam alanları satın almayı içerdiğini söyledi. O zamandan beri reklamlar kaldırıldı.
Sahte uygulamalardan bazıları Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao ve WPS Office’tir.
Slovak siber güvenlik firması, saldırıları Ağustos 2022 ile Ocak 2023 arasında gözlemlediğini belirterek, “Onlardan indirilen web siteleri ve yükleyiciler çoğunlukla Çince’dir ve bazı durumlarda yanlış bir şekilde Çin’de bulunmayan yazılımların Çince sürümlerini sunar.”
Kurbanların çoğu Tayvan, Çin ve Hong Kong’da bulunuyor ve onları Malezya, Japonya, Filipinler, Tayland, Singapur, Endonezya ve Myanmar izliyor.
Saldırıların en önemli yönü, kötü amaçlı yükleyiciyi yaymak için yazım hatası yapılmış etki alanlarına sahip benzer web sitelerinin oluşturulmasıdır; bu, hileye ayak uydurmak amacıyla yasal yazılımı yükleyen, ancak aynı zamanda FatalRAT dağıtan bir yükleyiciyi de düşüren yükleyicidir.
Bunu yaparak, saldırgana, rastgele kabuk komutlarını yürütme, dosyaları çalıştırma, web tarayıcılarından veri toplama ve tuş vuruşlarını yakalama dahil olmak üzere, mağdur edilen bilgisayarın tam kontrolünü verir.
Araştırmacılar, “Saldırganlar, web siteleri için kullanılan alan adlarıyla ilgili olarak, resmi adlara olabildiğince benzer olmaya çalışarak biraz çaba harcadılar” dedi. “Sahte web siteleri, çoğu durumda yasal sitelerin aynı kopyalarıdır.”
Bulgular, Trend Micro’nun FatalRAT’ı yaymak için bir varış vektörü olarak Adobe, Google Chrome, Telegram ve WhatsApp’ı lekelenmiş yazılım paketlerinden yararlanan bir Purple Fox kampanyasını ifşa etmesinden bir yıldan kısa bir süre sonra geldi.
Ayrıca, Google Ads’in çok çeşitli kötü amaçlı yazılımlara hizmet etmek veya alternatif olarak kullanıcıları kimlik bilgilerine dayalı kimlik avı sayfalarına yönlendirmek için daha geniş çapta kötüye kullanıldığı bir dönemde ortaya çıkarlar.
İlgili bir gelişmede, Symantec’in Tehdit Avcısı Ekibi, Frebniis adlı önceden belgelenmemiş .NET tabanlı bir implantla Tayvan’daki varlıkları hedefleyen başka bir kötü amaçlı yazılım kampanyasına ışık tuttu.
Symantec, “Frebniis tarafından kullanılan teknik, başarısız web sayfası isteklerini gidermek ve analiz etmek için kullanılan bir IIS özelliğiyle ilgili bir DLL dosyasının (iisfreb.dll) belleğine kötü amaçlı kod enjekte etmeyi içeriyor.” dedi.
“Bu, kötü amaçlı yazılımın tüm HTTP isteklerini gizlice izlemesine ve saldırgan tarafından gönderilen özel olarak biçimlendirilmiş HTTP isteklerini tanımasına olanak tanıyarak uzaktan kod yürütülmesine olanak tanır.”
Saldırıyı bilinmeyen bir aktöre bağlayan siber güvenlik firması, şu anda İnternet Bilgi Servisleri (IIS) sunucusunu çalıştıran Windows makinesine erişimin nasıl elde edildiğinin bilinmediğini söyledi.