Güvenlik araştırmacıları, Bumblebee kötü amaçlı yazılımının kötü amaçlı çevrimiçi reklamlar.
tarafından hazırlanan bir rapora göre Güvenli işler, Bumblebee kötü amaçlı yazılımı ilk olarak Mart 2022’de keşfedilen, esas olarak fidye yazılımı dağıtmak için kimlik avı saldırıları yoluyla dağıtılıyordu.
Ancak yeni bulgular, kötü amaçlı Google Reklamları veya SEO zehirlenmesi yoluyla dağıtılan truva atlı yazılımların kullanıldığını vurguluyor.
Siber güvenlik kuruluşundaki Karşı Tehdit Birimi, Bumblebee kötü amaçlı yazılımının, Zoom, Cisco AnyConnect, ChatGPT ve Citrix Workspace gibi popüler iş yazılımları aracılığıyla truva atı bulaşmış yükleyiciler aracılığıyla dağıtıldığını keşfetti.
Kötü amaçlı Google Reklamları aracılığıyla başlatılan sahte indirme sayfaları aracılığıyla, son kullanıcı kandırılarak kötü amaçlı yükleyiciyi yüklemesi sağlandı.
Uzaktan çalışanları hedefleyen Bumblebee kötü amaçlı yazılımı
“Uzaktan çalışanlar, evdeki BT kurulumlarına yeni yazılım yüklemek istiyor olabilir. Hızlı bir çözüm için, eğer varsa, teknoloji ekiplerine başvurmak yerine çevrimiçi bakabilirler. Ancak araştırmalar, her 100 çevrimiçi reklamdan birinin kötü amaçlı içerik içerdiğini gösteriyor,” dedi Secureworks CTU İstihbarat Direktörü Mike McLellan.
“İnsanlar yeni teknoloji ararken veya ChatGPT gibi yeni teknolojilerle ilgili abartılı haberlere dahil olmak isterken, Google onu bulmak için gidilecek yer. Arama sonuçlarında döndürülen kötü amaçlı reklamları tespit etmek, derin teknik bilgiye sahip biri için bile inanılmaz derecede zor.”
Raporda, Google veya diğer arama motorlarındaki uygulamalarda arama yapıldığında, Google Ads’in meşru görünen ancak Bumblebee yüküne sahip yazılımları yansıttığı tespit edildi.
Bumblebee kötü amaçlı yazılımını içeren kötü amaçlı reklam kampanyasının, bir Google Reklamı tıklanmadan bile cihazlara bulaştığı gözlemlendi. Kötü amaçlı bir reklam içeren bir web sayfasını yüklemek, kötü amaçlı yazılımı da yükler.
Virüslü cihaza fidye yazılımı, sisteme tam erişim sağlamak için casus yazılım yükleyebilir ve kullanıcının üzerlerine tıklamasını sağlamak için birkaç kötü amaçlı açılır pencere gönderen reklam yazılımı başlatabilir.
yaban arısı bilgi sayfası
Bumblebee kötü amaçlı yazılımı Mart 2022’de bulundu ve kullanıcılara kimlik avı bağlantıları ve Google Ads aracılığıyla gönderildi. CTU araştırmacıları tarafından araştırılan bir siber olay, Cisco Anyconnect VPN yükleyicisinin, uzaktaki çalışanları hedefleyen Bumblebee kötü amaçlı yazılımına sahip olacak şekilde değiştirildiğini ortaya çıkardı.
Bilgisayar korsanlarının sisteme erişebildikleri, Cobalt Strike ve kerberoasting komut dosyasını konuşlandırabildikleri ve hafifletilmeden bir saat önce yanal olarak hareket edebildiği bulundu.
Bilgisayar korsanları, araştırmacılar tarafından zamanında engellenen bir fidye yazılımı saldırısı başlatmayı amaçladılar.
Bumblebee kötü amaçlı yazılımının oluşturduğu riski azaltma
Kuruluşların, çalışanlarının uygulama indirmeleri için Google Reklamları dahil olmak üzere bağlantıları indirmesini veya bu bağlantılara tıklamasını yasaklayan politikalar oluşturması yardımcı olacaktır.
Vardiyayı çağırmak kimlik avından Google Ads’e geçiş “o kadar da şaşırtıcı değil”, diye ekliyor McLellan, “Düşmanlar parayı ve başarıya giden kolay yolu takip eder ve bunun kurumsal ağlara erişmenin daha iyi bir yolu olduğu kanıtlanırsa, o zaman onu kesinlikle istismar edeceklerdir.”
“Çalışanların iş bilgisayarlarına yazılım yükleme ayrıcalıklarına sahip olmaması gerektiğinden, web reklamlarına erişimi kısıtlamak ve yazılım indirme ayrıcalıklarını yönetmek için katı politikaların yürürlükte olmasının önemini vurguluyor,” diye bitiriyor sözlerini.