Bilgisayar korsanları, saygın VPN hizmeti NordVPN'i taklit eden kötü amaçlı bir reklam kampanyası başlatmak için Microsoft Bing'in reklam platformunu kullanıyor.
Bu karmaşık plan, kullanıcıları SecTopRAT olarak bilinen ve güvenlik riskleri oluşturan Uzaktan Erişim Truva Atı'nı (RAT) indirmeleri için kandırmayı amaçlıyor.
Kampanya, Bing'de “nord vpn” araması yapan kullanıcılara sahte bir reklam sunulmasıyla keşfedildi.
Reklamın URL'sinde nordivpn alan adı yer alıyordu[.]xyz, 3 Nisan 2024'teki keşfinden yalnızca bir gün önce tescil edildi.
Alan adının kasıtlı olarak yanlış yazılması, URL'yi yakından incelemeyen kullanıcıları yanıltmaya yönelik bir taktiktir.
Reklama tıklandığında kullanıcılar başka bir aldatıcı siteye yönlendirilir: besthord-vpn[.]com da yakın zamanda kaydoldu.
Bu site, ziyaretçileri orijinalliği konusunda ikna etmek için tasarlanmış meşru NordVPN web sitesinin neredeyse mükemmel bir kopyasıdır.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Aldatıcı İndirme
Kullanıcıların kaydolmasını gerektiren orijinal NordVPN'in aksine, sahte site, yükleyici için Dropbox'ta barındırılan doğrudan bir indirme bağlantısı sunuyor.
Malwarebytes tarafından bildirildiği üzere NordVPNSetup.exe adlı dosya, resmi satıcıdan geliyormuş gibi görünecek şekilde yanıltıcı bir şekilde dijital olarak imzalanmıştır.
Ancak imza sahte. Yürütülebilir dosya yalnızca NordVPN yükleyicisini değil aynı zamanda SecTopRAT kötü amaçlı yazılımını da içerir.
Kötü amaçlı yazılım, kendisini meşru bir süreç olan MSBuild.exe'ye enjekte edecek ve 45.141.87 adresinde bulunan bir komut ve kontrol sunucusuyla bağlantı kuracak şekilde tasarlandı.[.]15647 numaralı bağlantı noktasında 216.
Bu trafik modeli, SecTopRAT'ın başka bir adı olan Arechclient2 Arka Kapısı ile ilişkilidir.
Sektörün Yanıtı
Kötü amaçlı Bing reklamı ve bununla ilgili altyapı, keşfedilmesinin ardından Microsoft'a bildirildi.
Dropbox, kötü amaçlı indirme bağlantısını kaldırmak için hızlı bir şekilde harekete geçti.
ThreatDown'un da aralarında bulunduğu siber güvenlik topluluğu, bu kötü amaçlı reklamcılık operasyonunu sona erdirmek için sektör ortaklarıyla birlikte çalışıyor.
Kötü amaçlı reklamcılık, kötü amaçlı yazılımların yasal yazılımlar kullanılarak ne kadar kolay dağıtılabileceğini göstermektedir.
Tehdit aktörleri, içerik filtrelerinden kaçınmak ve şüphelenmeyen kullanıcıları hedef almak için altyapıyı hızla dağıtabilir.
Bu tür tehditlere karşı korunmak isteyen kuruluşlar için DNS Filtreleme güçlü bir çözümdür.
ThreatDown müşterileri, çevrimiçi reklamları engellemek için kuralları etkinleştirerek kötü amaçlı reklam riskini önemli ölçüde azaltabilir. Bu önleyici tedbir bir kuruluş genelinde uygulanabilir veya belirli alanlara göre uyarlanabilir.
Bing reklamlarının kötü amaçlı yazılım yaymak için kullanılması, sürekli gelişen siber tehdit ortamının çarpıcı bir hatırlatıcısıdır.
Kullanıcılar yazılımı indirirken dikkatli olmalı ve resmi kaynakları kullandıklarından emin olmalıdırlar.
Kuruluşlar, karmaşık saldırılara karşı koruma sağlamak için DNS Filtreleme gibi ek güvenlik önlemlerini uygulamayı düşünmelidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.