Devam eden bir kötü amaçlı reklam kampanyası, PuTTY (ücretsiz bir SSH ve Telnet istemcisi) ve FileZilla (ücretsiz bir platformlar arası FTP uygulaması) gibi sistem yardımcı programlarını indirmek isteyen BT yöneticilerini hedef alıyor.
Malwarebytes araştırmacısı Jérôme Segura, “Bu kampanyayı Google’a bildirdik ancak henüz herhangi bir işlem yapılmadı” dedi.
Kampanya
Google, Bing veya diğer saygın web siteleri aracılığıyla sunulan kötü amaçlı reklamlar, RAT’ler, bilgi hırsızları, yükleyiciler ve genellikle yasal yazılım görünümüne bürünen diğer kötü amaçlı yazılımları dağıtır.
Bu son kampanyada, Google Arama’da “Putty” veya FileZilla” arandığında, arama sonuçlarının en üstünde sponsorlu reklamlar çıkıyor; bu reklamlar sayfaları gizlemeye, ardından sunucu bot veya tarayıcı trafiğini veya güvenlik tarafından olası ziyaretleri tespit ederse sitelerin tuzağına düşmeye işaret ediyor araştırmacılar.
Alan adlarını gizleyen kötü amaçlı reklamlar (Kaynak: Malwarebytes)
Trafik potansiyel bir kurbandan geliyormuş gibi görünüyorsa, bu yazılım projelerinin meşru sitelerini taklit eden taklit sitelere yönlendirilirler. Kurban sunulan yazılımı indirirse bunun yerine Nitrogen kötü amaçlı yazılımını alır.
Segura şöyle açıklıyor: “Nitrojen, tehdit aktörleri tarafından özel ağlara ilk erişim elde etmek için kullanılıyor, ardından veri hırsızlığı ve BlackCat/ALPHV gibi fidye yazılımlarının yayılması geliyor.”
“Bu kötü amaçlı reklamcılık zincirindeki son adım, kötü amaçlı yazılım yükünün indirilmesi ve çalıştırılmasından oluşuyor. Nitrogen, meşru ve imzalı bir yürütülebilir dosyanın bir DLL’yi başlattığı, DLL yan yüklemesi olarak bilinen bir teknik kullanıyor.”
Kötü amaçlı reklamcılık: Devam eden bir tehdit
Kötü amaçlı reklamcılık o kadar yaygın bir tehdit haline geldi ki, her gün yeni kampanyalar işaretleniyor.
Nitrojen’i BT uzmanlarına dağıtan neredeyse aynı kötü amaçlı reklam kampanyalarının geçen yıl boyunca tekrar tekrar tespit edilmesi, bu kampanyaların etkinliğinin ve aynı zamanda arama motorlarının kötü amaçlı reklam sorununa etkisiz tepkisinin bir kanıtıdır.
“E-posta tehditlerine yönelik çok sayıda kimlik avı eğitim simülasyonu olmasına rağmen, kötü amaçlı reklamlara yönelik benzer eğitimlerin varlığından haberdar değiliz. Ancak tehdit, daha iyi kullanıcı eğitimini garanti edecek kadar yaygın hale geldi” diye belirtti Segura.
“Uç noktalar, ana ve daha az bilinen reklam ağlarından gelen trafiği kısıtlayan grup politikaları aracılığıyla kötü amaçlı reklamlardan korunabilir.”