Bilgisayar korsanları, Google arama sonuçlarındaki reklamlar yoluyla kötü amaçlı indirmeleri teşvik etmek için popüler ücretsiz ve açık kaynaklı yazılımlar için sahte web siteleri kuruyor.
Kripto para birimi sahnesinde öne çıkan en az bir kullanıcı, bilgisayar korsanlarının profesyonel ve kişisel hesapları üzerinde kontrol sağlamanın yanı sıra tüm dijital kripto varlıklarını çalmalarına izin verdiğini iddia ederek kampanyanın kurbanı oldu.
Hafta sonu, daha çok çevrimiçi kişiliğiyle tanınan kripto fenomeni Alex NFT Tanrıarama sonuçlarında bir Google reklamından indirdikleri Open Broadcaster Software (OBS) video kayıt ve canlı yayın yazılımı için sahte bir yürütülebilir dosyayı başlattıktan sonra saldırıya uğradı.
Alex, hafta sonu yaşadıklarını anlatan bir Twitter dizisinde “EXE’ye tıkladığımda hiçbir şey olmadı” diye yazdı. Ancak birkaç saat sonra arkadaşları, Twitter hesaplarının saldırıya uğradığı konusunda onları uyardı.
Alex’in haberi olmadan, bu muhtemelen kayıtlı tarayıcı şifrelerini, tanımlama bilgilerini, Discord jetonlarını ve kripto para cüzdanlarını çalan ve bunları uzaktaki bir saldırgana gönderen bilgi çalan bir kötü amaçlı yazılımdı.
Kısa süre sonra Alex, OpenSea NFT pazarındaki hesaplarının da ele geçirildiğini ve dijital varlıklarından birinin sahibi olarak farklı bir cüzdanın listelendiğini fark etti.
“O an her şeyin bittiğini biliyordum. Her şey. Tüm kriptolarım ve NFT’lerim benden çalındı,” NFT Tanrı ileti dizisinde diyor.
Yakında Alex, Substack, Gmail, Discord ve kripto para cüzdanlarının da aynı kaderi paylaştığını ve bilgisayar korsanları tarafından kontrol edildiğini keşfetti.
Bu yeni bir oyun olmasa da, tehdit aktörleri bunu daha sık kullanıyor gibi görünüyor. Geçen yılın Ekim ayında BleepingComputer, kullanıcıları yanıltmak için iki düzineden fazla marka için 200’den fazla yazım yanlışı alan adına dayanan büyük bir kampanya hakkında bilgi verdi.
O sırada dağıtım yöntemi bilinmiyordu, ancak Aralık ayında siber güvenlik şirketleri Trend Micro ve Guardio’dan alınan ayrı raporlar, bilgisayar korsanlarının arama sonuçlarında kötü niyetli indirmeleri zorlamak için Google Ads platformunu kötüye kullandığını ortaya çıkardı.
Google arama sonuçlarında art arda kötü niyetli reklamlar
BleepingComputer, NFT God’ın ileti dizisinin ardından kendi araştırmasını yürüttü ve OBS’nin, Google Ads arama sonuçlarında kötü niyetli indirmeleri zorlamak için tehdit aktörlerinin kimliğine büründüğü uzun bir yazılım listesinden biri olduğunu ortaya çıkardı.
Bulduğumuz bir örnek, önyüklenebilir USB flash sürücüler oluşturmak için ücretsiz bir yardımcı program olan Rufus için bir Google Reklam arama sonucu.
Tehdit aktörü, resmi olana benzeyen etki alanlarını kaydetti ve yasal sitenin ana bölümünü indirme bölümüne kadar kopyaladı.
Bir vakada, muhtemelen kurbanın ilgisini çekmek ve daha geniş bir program özellikleri seti vaadiyle cezbetmek amacıyla jenerik üst düzey etki alanı “pro”yu kullandılar.
Not etmek gerekirse, Rufus’un gelişmiş bir varyantı yoktur. GitHub’da barındırılan, yüklenebilir veya taşınabilir bir varyant olarak sunulan yalnızca bir sürüm vardır.
Kötü amaçlı sürüm için indirme, bir dosya aktarım hizmetine gider. Bir arşiv bombası olduğu için birçok antivirüs motoru onu bir tehdit olarak algılamaz.
Taklit edilen başka bir popüler program, metin ve kaynak kodu düzenleyicisi Notepad++’dır. Tehdit aktörü, resmi geliştiricinin meşru etki alanına benzer bir etki alanı oluşturmak için yazım hatası kullandı.
Güvenlik araştırmacısı Will Dormann, Google aramanın sponsorlu bölümündeki sahte Notepad++ indirmelerinin ek URL’lerden alınabileceğini ve tüm dosyaların Virus Total tarama platformundaki çeşitli antivirüs (AV) motorları tarafından kötü amaçlı olarak işaretlendiğini buldu.
BleepingComputer ayrıca, yalnızca Google Ads arama sonuçları aracılığıyla dağıtılan sahte yazılım indirmeleriyle dolu bir web sitesi buldu. Web sitesi, Hindistan’da Zensoft Tech adlı meşru bir web tasarım şirketi gibi görünen bir şirketin kimliğine bürünüyor.
Ne yazık ki indirmelerin kötü niyetli olup olmadığını doğrulayamadık, ancak alan adının yazım hatası yapılmış bir URL olduğu, sitenin arama motorlarının içeriği dizine eklemesini engellediği ve indirmeleri yalnızca arama sonuçlarındaki reklamlar aracılığıyla tanıttığı göz önüne alındığında, kötü niyetli etkinliğin güçlü bir göstergesi var.
Web sitesinde keşfettiğimiz yazılımlar arasında dosya sıkıştırma yardımcı programları 7-ZIP ve WinRAR ve yaygın olarak kullanılan medya oynatıcı VLC yer alıyor.
Farklı bir etki alanından, tehdit aktörleri, potansiyel olarak istenmeyen dosyaları ve geçersiz Windows Kayıt Defteri girişlerini kaldırmak için CCleaner yardımcı programının kötü amaçlı bir sürümünü sağladı.
Bilgisayar korsanlarının, yasal geliştiriciden daha yüksek teklif vermek için çaba sarf ettikleri ve bu nedenle reklamlarını en üst konumda tuttukları anlaşılıyor. Aşağıdaki resimde görüldüğü gibi, resmi CCleaner web sitesi kötü amaçlı reklamın altında görüntüleniyor. Bu site, Redline bilgi çalan kötü amaçlı yazılımı yükleyen bir CCleaner.zip dosyası sunuyordu.
Birkaç güvenlik araştırmacısı (mdmck10, Kötü Amaçlı Yazılım Avcısı Ekibi, dormann olacak, Alman Fernandez), ücretsiz ve açık kaynaklı yazılım kimliğine bürünen kötü amaçlı indirmeler barındıran ek URL’ler ortaya çıkardı ve bu da, kullanıcıları Google aramadaki sponsorlu sonuçlar aracılığıyla cezbetmenin siber suçlular için daha yaygın bir yaklaşım olduğunu doğruladı.
Siber güvenlik şirketi CronUp’tan Germán Fernández, meşru yazılım kimliğine bürünerek Google Ads arama sonuçları aracılığıyla kötü amaçlı yazılım dağıtan 70 alanın listesini sunuyor.
Web siteleri, resmi olanların kopyalarıdır ve ya sahte yazılım sağlar ya da başka bir indirme konumuna yönlendirir. Birçoğu Audacity sunar ve bazıları VLC ve görüntü düzenleyici GIMP içindir.
Bir kullanıcı, Blender 3D açık kaynaklı 3D oluşturma paketini ararken neredeyse hileye düşüyordu. A MalwareHunterTeam’den tweet resmi geliştiriciden gelen bağlantıdan önce bu ürün için üç kötü niyetli reklamın bulunduğunu gösterir.
Bazı AV ürünleri tarafından kötü amaçlı olarak işaretlenen örneklerden birine bakan güvenlik araştırmacısı Will Dormann, bunun bir geçersiz imza siber güvenlik şirketi Bitdefender’dan.
BleepingComputer kötü amaçlı yazılımın bu şekilde teslim edildiği her durumda kontrol edemese de, bazı durumlarda yük, sahte CCleaner sitesinde gördüğümüz RedLine Stealer idi.
Bu kötü amaçlı yazılım, tarayıcılardan (kimlik bilgileri, kredi kartı, otomatik tamamlama bilgileri), sistemle ilgili ayrıntılardan (kullanıcı adı, konum, donanım, mevcut güvenlik yazılımı) ve kripto para biriminden hassas veriler toplar.
Fernández, bir tehdit aktörünün Arechclient2 olarak da bilinen .NET tabanlı uzaktan erişim truva atı SectoRAT’ı Audacity dijital ses düzenleyicisi için sahte indirmeler yoluyla dağıttığını tespit etti.
Araştırmacı ayrıca, Google Arama’da reklamı yapılan Blender 3D için kötü amaçlı indirmeler yoluyla sağlanan Vidar bilgi hırsızına da rastladı. Vidar, tarayıcılardan hassas bilgiler toplamaya odaklanır ve kripto para cüzdanlarını da çalabilir.
HP Wolf Security araştırmacıları bu makaleyi yayınladıktan sonra benzer kampanyalar hakkında bir rapor yayınladılar ve analiz ettikleri ilk kampanyanın Kasım 2022 tarihli olduğunu belirttiler.
Sahte yazılım kötü amaçlı reklamcılığı yoluyla dağıtıldığını gördükleri kötü amaçlı yazılımlardan bazıları, IcedID truva atı, Vidar, Rhadamanthys Stealer ve BatLoader’ı içerir.
Şu anda BleepingComputer ve çok sayıda güvenlik araştırmacısı, Google arama sonuçlarında aşağıdaki yazılımlar için kötü amaçlı reklamlar gördü:
- 7-Zip
- Karıştırıcı 3D
- Capcut
- CCleaner
- Not Defteri++
- OBS
- Rufus
- Sanal Kutu
- VLC medya oynatıcı
- WinRAR
- Macun
BleepingComputer bu bulguların bazılarını Google ile paylaştı ve bir şirket temsilcisi bize platformun politikalarının marka kimliğine bürünmeyi önlemek için tasarlandığını ve uygulandığını söyledi.
“Reklamverenin kimliğini gizleyerek ve diğer markaların kimliğine bürünerek yaptırımımızı atlatmaya çalışan reklamları yasaklayan sağlam politikalarımız var ve bunları şiddetle uyguluyoruz. Söz konusu reklamları inceledik ve kaldırdık” – Google
Bu makalenin yazıldığı sırada Google, bildirilen ek reklamların ve sitelerin politikalarını ihlal edip etmediğini kontrol edeceğini ve gerekirse uygun işlemi yapacağını söyledi. Şirket bu süreci tamamladı ve bildirilen kötü amaçlı reklamları kaldırdı.
Reklam engelleyiciler korumayı artırabilir
Arama sonuçlarında sponsorlu reklamları kötü amaçlı yazılım dağıtım kanalı olarak kullanmak, FBI tarafından geçen yıl Noel’den önce bir uyarıda işaretlendi.
Ajans, “bu reklamların, bir reklam ile gerçek bir arama sonucu arasında minimum farkla arama sonuçlarının en üstünde göründüğü” ve “kimliğine bürünülmüş işletmenin resmi web sayfasıyla aynı görünen” bir web sitesine bağlantı verdiği konusunda uyarıda bulundu.
Bu nedenle, siber suçluların kötü amaçlı yazılımlarını hiçbir şeyden haberi olmayan daha geniş bir kullanıcı havuzuna yayma şansı daha yüksektir.
Bir indirme kaynağının URL’sini kontrol etmek her zaman iyi bir tavsiyedir. Bir reklam engelleyici kullanımıyla birleştiğinde, bu tür tehdide karşı koruma düzeyi büyük ölçüde azalacaktır.
Reklam engelleyiciler, çoğu web tarayıcısında uzantı olarak bulunur ve adından da anlaşılacağı gibi, reklamların yüklenmesini ve arama sonuçları da dahil olmak üzere bir web sayfasında görüntülenmesini durdurur.
Reklam engelleyiciler, internetin daha rahat kullanılmasına katkıda bulunmanın yanı sıra, reklamlardaki izleme çerezlerinin tarama alışkanlıklarınız hakkında veri toplamasını önleyerek gizliliği de artırır.
Ancak bu durumda, bu tür uzantılar, hassas bilgilerinize veya çevrimiçi hesaplarınıza erişimi kaybetmekle yasal satıcılardan dijital kaynaklar almak arasındaki farkı yaratabilir.
Güncelleme [January 18, 2023]: Makale, Google’ın bildirilen ek kötü amaçlı reklamları incelediğini ve bu makaleyi yayınladıktan sonra bunları kaldırdığını yansıtacak şekilde güncellendi. Başlangıçta, şirket yalnızca daha küçük bir dizi kötü amaçlı reklam aldı ve bunları platformdan kaldırdı.
Kasım 2022’den bu yana sahte yazılım reklam kampanyaları aracılığıyla sunulan diğer kötü amaçlı yazılımları tespit eden HP Wolf Security araştırmasından yeni ayrıntılar eklendi.