Kötü niyetli aktörler, büyük ölçekli kötü amaçlı yazılım dağıtım kampanyaları başlatmak için genellikle zararsız bir güvenlik özelliği olan captcha doğrulama sayfalarından yararlanarak siber suçları yeni boyutlara taşıdı.
Bu şaşırtıcı açıklama, kötü amaçlı reklamlarla iç içe geçmiş bu sahte captcha’ların, kullanıcılara nasıl parola çalan kötü amaçlı yazılımlar bulaştırdığını ortaya çıkarıyor.
Geçtiğimiz birkaç hafta boyunca siber suçlular, kullanıcıları zararlı PowerShell komutlarını çalıştırmaları için kandırmak amacıyla sahte captcha sayfalarından yararlanıyor.
Bu sahte captcha’lar belirli web sitelerinde pop-up’lar olarak görünür ve meşru insan doğrulama süreçlerinin görünümünü ve hissini taklit eder.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Kullanıcılar “insan olduklarını kanıtlamak” için talimatları takip ettiğinde, yanlışlıkla sistemlerine kötü amaçlı yazılım yükleyen bir PowerShell komutunu çalıştırıyorlar.
Bu kötü amaçlı yazılım, şifreleri, finansal bilgileri, özel dosyaları ve sosyal medya kimlik bilgilerini çalmak üzere tasarlanmıştır.
Bu kampanyanın başarısı basitliğinde ve kullanıcı şüphesinden kaçma yeteneğinde yatmaktadır. Kötü amaçlı yazılımın çalıştırılması, rutin bir süreç gibi görünen bir süreç içinde gizleniyor ve çoğu kurban, tehlikeye atıldıklarından habersiz kalıyor.
Saldırıda Kötü Amaçlı Reklamcılığın Rolü
Bu kötü amaçlı captcha’ların dağıtımı, kötü amaçlı reklam veya kötü amaçlı reklam yoluyla kolaylaştırılmaktadır. Siber suçlular, reklam ağları aracılığıyla meşru web sitelerinde reklam alanı satın alarak kullanıcıları sahte captcha sayfalarına yönlendiren komut dosyaları ekler.
Bu reklamlar, denetleme kontrollerini atlamak için gelişmiş gizleme teknikleri kullanan karmaşık reklamlardır. Reklam sunulduktan sonra kullanıcının cihazı ve tarayıcısı hakkında bilgi toplayarak kötü amaçlı yükü iletmenin en iyi yolunu belirler.
Sistem, kullanıcının profilini analiz eden ve onları sahte captcha sayfasına yönlendiren Trafik Dağıtım Sistemine (TDS) dayanmaktadır.
Çoğu zaman son kullanıcılar tarafından tespit edilemeyen bu kusursuz yeniden yönlendirme süreci, kötü amaçlı yazılım kampanyasının tehlike işaretlerine yol açmadan geniş ölçekte faaliyet göstermesini sağlar.
Monetag ve Kötü Amaçlı Reklam Ekosistemi
Bu kampanyanın dikkate değer oyuncularından biri, kötü amaçlı reklamlara olanak sağlamakla suçlanan bir reklam ağı olan Monetag’dır.
Ne yazık ki, kötü niyetli aktörler sahte captcha sayfaları sunmak için bu araçları kullandılar. Saldırganlar, amaçlarını gizlemek için BeMob gibi reklam izleme hizmetlerinden yararlanarak Monetag’ın içerik denetimini atlayarak zararlı reklamların tespit edilmesini ve kaldırılmasını zorlaştırıyor.
Saldırganlar, tespit edilmekten kaçınmak için kötü amaçlı yazılım komut dosyalarını ve captcha tasarımlarını sık sık güncelleyerek kampanyanın etkili kalmasını sağlar.
Raporlar, bu kampanyaların günde bir milyondan fazla reklam gösterimi oluşturduğunu ve binlerce meşru web sitesini etkilediğini gösteriyor.
Bu kampanya öncelikli olarak yayın platformları ve indirme merkezleri gibi ücretsiz veya korsan içerik sunan web sitelerini ziyaret eden kullanıcıları hedefler. Agresif reklamcılık uygulamalarıyla bilinen bu siteler, farkında olmadan saldırının katılımcıları haline geliyor.
Bazı durumlarda, bu sahte captcha komut dosyalarını daha da yaymak için güvenliği ihlal edilmiş web siteleri veya klonlanmış şablonlar kullanılır ve bu da enfeksiyonun boyutunu artırır.
Labs Guard in Medium’a göre, Gelişmiş arama motoru optimizasyonu (SEO) taktikleri, bu kötü amaçlı web sitelerinin arama motorlarında üst sıralarda yer almasını ve şüphelenmeyen ziyaretçilerin sürekli akışını çekmesini sağlar.
Kullanıcılar siteye girdikten sonra, müdahaleci reklam yerleşimleri yoluyla sahte captcha saldırısı akışına yönlendiriliyor.
Bu tehditlere karşı korunmak için kullanıcıların proaktif güvenlik uygulamalarını benimsemesi gerekir. Şüpheli görünen veya beklenmeyen eylemlere yol açan açılır pencerelere veya captcha istemlerine tıklamaktan kaçının.
Saygın reklam engelleyicileri kullanmak, kötü amaçlı reklamlara maruz kalma riskini en aza indirebilir; işletim sisteminizi ve antivirüs yazılımınızı güncel tutmak, kötü amaçlı yazılımların tespit edilmesine ve engellenmesine yardımcı olabilir.
Son olarak, yüksek riskli web sitelerine, özellikle de ücretsiz veya korsan içerik sunanlara göz atarken dikkatli olun.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin