Yazılım indirmeleri arayan kullanıcılar, Bing Chat ile etkileşimleri yoluyla kandırılarak kötü amaçlı web sitelerini ziyaret edebilirler.
Şubat 2023’te Microsoft, OpenAI’nin GPT-4’ü tarafından desteklenen yeni yapay zeka destekli arama motoru Bing Chat’i duyurdu. Her ne kadar Google yıllardır arama sektörünü domine ediyor olsa da bu olay hem ilgi uyandıracak hem de gelecekte dengelerde olası bir değişimin tohumunu ekecek kadar önemliydi.
Teknoloji devlerinin gelirlerinin çoğunu reklamlardan elde ettiği göz önüne alındığında, Microsoft’un yayınlandıktan kısa bir süre sonra Bing Chat’e reklam eklemesi şaşırtıcı değildi. Ancak çevrimiçi reklamların doğası gereği bir riski vardır. Bu blogda, yazılım indirmeleri arayan kullanıcıların, kötü amaçlı siteleri ziyaret etmeleri ve doğrudan Bing Sohbet konuşmasından kötü amaçlı yazılım yüklemeleri için nasıl kandırılabileceğini gösteriyoruz.
Bing Chat görüşmesi yoluyla kötü amaçlı reklamcılık
Bing Chat, çevrimiçi aramalar için çok farklı bir deneyim sağlayan etkileşimli bir metin ve resim uygulamasıdır. Altı ay boyunca herkese açık hale geldikten sonra Microsoft, bir milyardan fazla sohbetle kullanıcı etkileşimini kutladı.
Reklamlar bir Bing Chat görüşmesine çeşitli şekillerde eklenebilir. Bunlardan biri, kullanıcının bir bağlantının üzerine gelmesi ve organik sonuçtan önce bir reklamın görüntülenmesidir. Aşağıdaki örnekte ağ yöneticilerinin kullandığı Advanced IP Scanner adlı programı nereden indirebileceğimizi sorduk. İmlecimizi ilk cümlenin üzerine getirdiğimizde, hemen altında bu programın reklamını ve resmi web sitesini gösteren bir diyalog beliriyor:
Kullanıcılar her iki bağlantıyı da ziyaret etme seçeneğine sahiptir, ancak konumu nedeniyle ilkinin tıklanma olasılığı daha yüksektir. Bu bağlantının yanında küçük bir ‘Reklam’ etiketi bulunsa bile, bağlantıyı gözden kaçırmak ve normal bir arama sonucu olarak görüntülemek kolaydır.
Kimlik avı sitesi kötü amaçlı yazılım sunuyor
İlk bağlantıya tıklandığında kullanıcılar bir web sitesine yönlendirilir (mynetfoldersip[.]CFD) amacı trafiği filtrelemek ve gerçek mağdurları botlardan, korumalı alanlardan veya güvenlik araştırmacılarından ayırmaktır. Bunu IP adresinizi, saat diliminizi ve sanal makineleri tanımlayan web oluşturma gibi diğer çeşitli sistem ayarlarınızı kontrol ederek yapar.
Gerçek insanlar sahte bir siteye yönlendiriliyor (gelişmiş ip tarayıcı[.]iletişim) resmi olanı taklit ederken diğerleri sahte bir sayfaya gönderilir. Bir sonraki adım, kurbanların sözde yükleyiciyi indirip çalıştırmasıdır.
MSI yükleyicisi üç farklı dosya içerir ancak yalnızca bir tanesi kötü amaçlıdır ve oldukça karmaşık bir komut dosyasıdır:
Çalıştırıldıktan sonra komut dosyası harici bir IP adresine ulaşır (65.21.119[.]59) muhtemelen kendisini duyurmak ve ek bir yük almak için.
Arama gelişiyor, kötü amaçlı reklamlar takip ediyor
Tehdit aktörleri, kullanıcıları kötü amaçlı yazılım barındıran kötü amaçlı sitelere yönlendirmek için arama ağı reklamlarından yararlanmaya devam ediyor. Bing Chat farklı bir arama deneyimi olsa da geleneksel bir Bing sorgusunda görülen reklamların bazılarını sunar.
Bu durumda, kötü niyetli kişi Avustralya’daki yasal bir işletmenin reklam hesabına sızdı ve biri ağ yöneticilerini (Gelişmiş IP Tarayıcı) ve diğeri avukatları (MyCase hukuk yöneticisi) hedef alan iki kötü amaçlı reklam oluşturdu:
İkna edici açılış sayfaları sayesinde kurbanlar, kötü amaçlı yazılım indirmeleri için kolayca kandırılabilir ve bu konuda hiçbir şey bilmezler.
Kullanıcıların ziyaret ettikleri web sitelerine özellikle dikkat etmelerini, aynı zamanda ek koruma elde etmek için bir takım güvenlik araçlarını kullanmalarını öneririz. Malwarebytes, hem tüketiciler hem de işletmeler için web koruması, reklam engelleme ve kötü amaçlı yazılım tespitini içeren güvenlik yazılımı sağlar.
Bu güvenlik olayı, ilgili diğer birkaç kötü amaçlı reklamla birlikte Microsoft’a bildirildi.
Uzlaşma Göstergeleri
Reklam URL’si ve gizleme
mynetfoldersip[.]cfd
Sahte web sitesi
advenced-ip-scanner[.]com
Kötü amaçlı MSI
ca83b930c2b34a167a39dc04c7917b9f360a95586bce45842868af6b9ad849a2
Komut Dosyası C2
65.21.119[.]59
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE