Popüler konferans yazılımı Webex için Google’da arama yapan kurumsal kullanıcılar, kötü amaçlı bir reklam kampanyasının hedefi oluyor.
Yeni bir kötü amaçlı reklam kampanyası, popüler web konferans yazılımı Webex’i indiren kurumsal kullanıcıları hedefliyor. Tehdit aktörleri, Cisco markasının kimliğine bürünen bir reklam satın aldılar ve bir Google araması yaparken ilk olarak görüntüleniyorlar.
Kötü amaçlı reklam neredeyse bir haftadır yayında olduğundan kullanıcıları bu tehdide karşı uyarmak için bu blogu yayınlıyoruz. Bu kampanyada kullanılan kötü amaçlı yazılım, tespit edilmekten kurtulma konusunda çok iyi olan bir yükleyici türü olan BatLoader’dır.
Webex’in tehlikeye atılmadığını unutmayın; bu, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için tanınmış markaların kimliğine büründüğü kötü amaçlı bir kampanyadır.
Reklam kampanyası ayrıntıları
Geçtiğimiz birkaç gün boyunca Webex’i her aradığımızda aynı kötü amaçlı reklamı gördük. Reklam, kullanıcılara organik sonuçtan önce gösteriliyor ve markanın logosunu gösterdiği için daha da orijinal görünüyor:
Aslında reklam, yalnızca Webex logosunu kullanmakla kalmayıp aynı zamanda resmi web sitesini de gösterdiği için tamamen meşru görünüyor. Ancak, reklamın sağındaki menüye tıklandığında daha fazla ayrıntı gösterilir ve reklamverenin Meksika’dan bir birey olduğu ortaya çıkar; Cisco ile pek alakası yoktur:
Bunun nasıl olduğunu anlamak için görünen URL’lere ilişkin Google Ads politikasına bakabiliriz. Google özellikle şunları belirtiyor:
Reklamlarınızın URL’leri, müşterilere bir reklamı tıkladıklarında hangi sayfaya ulaşacakları konusunda net bir fikir vermelidir. Bu nedenle Google’ın politikası, hem görünen hem de açılış sayfası URL’lerinin aynı web sitesinde olması gerektiği yönündedir. Bu, reklamınızdaki görünen URL’nin, ziyaretçilerin reklamınızı tıkladıklarında ulaşacakları alan adıyla eşleşmesi gerektiği anlamına gelir.
Bu kötü amaçlı reklam, nihai URL olarak da bilinen açılış sayfası URL’sinin aynı alan adında olması nedeniyle aslında kelimenin tam anlamıyla bu kurala uymaktadır.
Tehdit aktörü, izleme şablonu olarak bilinen bir boşluktan yararlanıyor. Google, izleme şablonunu, URL izleme bilgilerini koyduğunuz yer olarak tanımlar. Bu, reklamverenlere bir dizi ölçüm sağladığından özellikle faydalıdır. Ancak izleme şablonu URL’sinin bir filtreleme ve yönlendirme mekanizması olarak kullanıldığı şekilde de kötüye kullanılabilir.
Örneğin, tehdit aktörü izleme şablonu olarak bir Firebase URL’si (trixwe.page.link) oluşturmuştur
İzleme URL’si, ziyaretçi üzerinde bir dizi kontrol gerçekleştirebilir ve potansiyel bir kurban olup olmadığını belirleyebilir. Reklam bir korumalı alan aracılığıyla tıklanırsa ne olur:
İzleme sayfasının monoo3at adresinde saldırgan tarafından kontrol edilen özel bir web sitesine yönlendirildiğini görebiliriz.[.]com. Bu adım, tehdit aktörünün ziyaretçinin parmak izini almasına ve ardından hangi eylemin gerçekleştirileceğine karar vermesine olanak tanır. Bu durumda ziyaretçinin korumalı alan olduğu tespit edildi ve bu nedenle Webex’in resmi web sitesine yönlendiriliyor. Bu teknik önemlidir çünkü kötü niyetli reklamverenin reklamlarını uzun süre çalışır durumda tutmasına olanak tanır.
Ancak reklam gerçek bir kurban tarafından tıklandığında web trafiği çok farklı görünür:
Bunun yerine kullanıcı kötü amaçlı bir web sitesine yönlendirilir (webexadvertisingoffer[.]com) Webex olduğu iddia edilen:
BatLoader: gizli kötü amaçlı yazılım yükleyici
İndirilen dosya birçok sanal alanın boyut sınırını aşıyor ve antivirüs ürünlerinin tespitini atlayacak şekilde tasarlandı. VirusTotal’ın bir güvenlik ürününün yerini alması amaçlanmasa da, genellikle yararlı bilgiler sağlar ve insanlar tarafından sıklıkla bir dosyanın temiz olup olmadığını kontrol etmek için kullanılır.
Bu durumda, bu MSI dosyası için 0 algılaması vardı, bunun nedeni kısmen formatın çeşitli güvenlik ürünleri tarafından desteklenmemesiydi:
Ancak bundan daha fazlası var ve dosyanın paketlenme şekli tespit edilmesini çok daha zorlaştırıyor. Yükleyicinin içeriğini çıkarırsak birçok farklı klasör ve yüzlerce dosya ve kitaplık görürüz:
EDR gibi farklı türde bir güvenlik ürününün gerçekte neler olup bittiğini gösterebildiği yer burasıdır. MSI yükleyicisi korumalı alan önleme özellikleri içerir ve yalnızca belirli ortamlarda çalışır. İşletmelere yönelik bulutta barındırılan güvenlik platformumuz Malwarebytes Nebula’yı kullanarak, MSI’nın PowerShell de dahil olmak üzere bir dizi işlemi ürettiğini ve Python’u yerel bir kaynaktan yüklediğini görebiliriz.
Bu BatLoader’dır ve algıladığı ortama bağlı olarak özel bir ikincil veri alacaktır.
Bu veri BatLoader’ın komuta ve kontrol sunucusundan şifrelenmiş biçimde indirilir:
Daha sonra EDR ortamımızda görebildiğimiz openssl kullanılarak diskte şifresi çözülür:
Düşen kötü amaçlı yazılım, EDR’nin buluşsal motoru aracılığıyla imza olmadan zaten tespit edilen DanaBot’tur:
BatLoader’ın C2’si için algılama ekledik:
Kötü amaçlı reklamcılık, tehdit aktörlerine ilk erişim sağlamaya devam ediyor
Bu blog yazısında gördüğümüz gibi kötü amaçlı reklamcılık, özellikle yazılım aramak ve indirmek için yaygın olarak kullanılan Google gibi arama motorlarından yararlanarak kurumsal kullanıcıları hedeflemeye devam eden bir tehdittir.
Reklamlar çok meşru göründüğü için insanların reklamlara tıklayıp güvenli olmayan siteleri ziyaret edeceğine dair pek şüphe yok. Bu reklamlarda kullanılan yazılımın türü, tehdit aktörlerinin, daha fazla ağ “sızma testi” ve bazı durumlarda fidye yazılımı dağıtımı için kendilerine yararlı kimlik bilgileri sağlayacak kurumsal kurbanlarla ilgilendiğini gösteriyor.
BatLoader gibi yükleyiciler gizlidir ve geleneksel antivirüs tarafından algılanamayabilir. İnsan analistlerin kötü amaçlı yazılım tarafından gerçekleştirilen şüpheli etkinlikleri incelediği bir MDR hizmetiyle birleştirilmiş EDR gibi daha eksiksiz bir çözüm bir zorunluluktur.
Kötü amaçlı reklamcılık olayını birkaç gün önce Google’a bildirdik ve bu tehdit aktörlerinden gelebilecek herhangi bir değişiklik için reklam ortamını izlemeye devam edeceğiz.
Uzlaşma Göstergeleri
Gizleme altyapısı
monoo3at[.]com
206.71.149[.]46
Yem sitesi
webexadvertisingoffer[.]com
31.31.196[.]208
Yarasa Yükleyici
fugas[.]site/debug/Installer90.2.msi
2727a418f31e8c0841f8c3e79455067798a1c11c2b83b5c74d2de4fb3476b654
Yarasa Yükleyici C2
updatecorporatenetworks[.]ru
91.199.147[.]226
DanaBot
7a1245584c0a12186aa7228c75a319ca7f57e7b0db55c1bd9b8d7f9b397bfac8
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE