Siber güvenlik araştırmacıları, kötü amaçlı reklamcılık odaklı bir bilgi çalma kampanyasının parçası olarak tek bir reklam ağı hizmetinden yararlanmaya dayanan ClickFix tarzı saldırılarla ilgili daha önce belgelenmemiş bir noktaya ışık tuttu. AldatmaReklamlar.
“Yayılım için tamamen tek bir reklam ağına bağımlı olan bu kampanya, kötü amaçlı reklamcılığın temel mekanizmalarını sergiliyor ve günde 1 milyondan fazla ‘reklam gösterimi’ sağlıyor [in the last ten days] Guardio Labs başkanı Nati Tal, The Hacker News ile paylaşılan bir raporda şunları söyledi: “Trafik yönlendiren 3.000’den fazla içerik sitesinden oluşan bir ağ aracılığıyla her gün binlerce kurbanın hesaplarını ve paralarını kaybetmesine neden oluyor.”
Son aylarda birçok siber güvenlik şirketi tarafından belgelendiği üzere kampanyalar, korsan film sitelerinin ziyaretçilerini ve diğerlerini, Base64 kodlu bir PowerShell komutunu kopyalayıp yürütmeleri talimatını veren sahte CAPTCHA doğrulama sayfalarına yönlendirmeyi içeriyor ve sonuçta aşağıdaki gibi bilgi hırsızlarının konuşlandırılmasına yol açıyor: Lumma.
Saldırılar artık tek bir aktörle sınırlı değil; Proofpoint yakın zamanda çok sayıda “ilişkilendirilmemiş” tehdit kümesinin, uzaktan erişim truva atlarını, hırsızları ve hatta Brute Ratel C4 gibi istismar sonrası çerçeveleri sunmak için akıllı sosyal mühendislik yaklaşımını benimsediğini belirtti.
Guardio Labs, kampanyanın kökeninin izini, “web sitelerinden para kazanmak, sosyal trafik, Telegram Mini Uygulamaları” için çeşitli reklam formatları sunduğunu iddia eden bir platform olan Monetag’a kadar takip edebildiğini ve tehdit aktörlerinin aynı zamanda BeMob reklam izleme gibi hizmetlerden de yararlandığını söyledi. kötü niyetli niyetlerini gizlerler. Monetag ayrıca Infoblox tarafından Vane Viper ve Omnatuor isimleri altında takip ediliyor.
Kampanyanın özü şu: Web sitesi sahipleri (yani tehdit aktörleri) Monetag’a kaydolur, ardından trafik, kötü amaçlı reklamcılık reklam ağı tarafından işletilen bir Trafik Dağıtım Sistemine (TDS) yönlendirilir ve sonuçta ziyaretçiler CAPTCHA doğrulama sayfasına yönlendirilir.
Tal, “Saldırganlar, doğrudan sahte captcha sayfası yerine Monetag’ın reklam yönetim sistemine zararsız bir BeMob URL’si sağlayarak BeMob’un itibarını güçlendirdi ve Monetag’ın içerik denetleme çabalarını karmaşık hale getirdi” diye açıkladı. “Bu BeMob TDS sonunda Oracle Cloud, Scaleway, Bunny CDN, EXOScale ve hatta Cloudflare R2 gibi hizmetlerde barındırılan kötü amaçlı CAPTCHA sayfasına yönlendiriyor.”
Sorumlu açıklamanın ardından Monetag, tehdit aktörüne bağlı 200’den fazla hesabı kaldırdı. BeMob da benzer bir çabayla gizleme için kullanılan hesapları kaldırdı. Bununla birlikte kampanyanın 5 Aralık 2024 itibarıyla yeniden başladığına dair işaretler var.
Bulgular, sahte kayıtları önlemek için içerik denetimi ve sağlam hesap doğrulama ihtiyacını bir kez daha vurguluyor.
Tal, “Korsan veya tıklama tuzağı içerik sunan yanıltıcı yayıncı sitelerinden, karmaşık yeniden yönlendirme zincirleri ve gizleme tekniklerine kadar, bu kampanya, meşru amaçlar için tasarlanan reklam ağlarının kötü niyetli faaliyetler için nasıl silah haline getirilebileceğinin altını çiziyor” dedi.
“Sonuç, reklam ağlarının, yayıncıların, reklam istatistik hizmetlerinin ve barındırma sağlayıcılarının her birinin bir rol oynadığı ancak çoğu zaman sorumluluktan kaçındığı parçalanmış bir sorumluluk zinciridir.”