Dinamik olarak oluşturulan reklamlar, oluşturuldukları içeriğin güvenliği ihlal edildiğinde sorunlu olabilir.
Kötü amaçlı reklamcılık olaylarının tümü olmasa da çoğu, bir tehdit aktörünün mevcut bir reklamın içine kod yerleştirmesi veya kasıtlı olarak bir reklam oluşturmasından kaynaklanır. Bugün, kulağa ne kadar tuhaf gelse de, kötü amaçlı reklamcılığın tamamen tesadüfi olduğu farklı bir senaryoyla karşı karşıyayız.
Bunun nedeni iki ayrı faktörün birleşiminden kaynaklanıyordu: güvenliği ihlal edilmiş bir web sitesi ve Google Dinamik Arama Ağı Reklamları.
Site sahibinin haberi olmadan, reklamlarından biri, Python geliştiricileri için popüler bir programın tanıtımını yapmak üzere otomatik olarak oluşturuldu ve Google’da arama yapan kişiler tarafından görülebildi. Reklama tıklayan kurbanlar, uygulamayı indirebilecekleri bir bağlantının bulunduğu, saldırıya uğramış bir web sayfasına yönlendiriliyordu; bunun yerine bir düzineden fazla farklı kötü amaçlı yazılım yüklediği ortaya çıktı.
Güvenliği ihlal edilmiş web sitesi yazılım çatlağını teşvik ediyor
Güvenliği ihlal edilmiş reklamı web sitesinden önce tespit etmiş olsak da, reklamın oluşturulmasına neyin yol açtığını daha iyi anlamak için öncelikle site sahibinin bakış açısından neler olduğunu açıklayacağız.
Bu web sitesi, düğün planlaması konusunda uzmanlaşmış bir işletmeye yöneliktir ve portföyleri, hikayelerini ve deneyimlerini paylaşan önceki müşterilerin referanslarını içerir. Ne yazık ki, bu sayfalardan bazılarına kötü amaçlı içerik gönderen kötü amaçlı yazılımlar enjekte edilmiştir.
Özellikle sayfanın başlığını değiştirir ve çeşitli yazılım programları için seri anahtarı destekleyen bir kaplama oluşturur. Örneğin, aşağıdaki ekran görüntüsü, yazılım geliştiricileri tarafından kullanılan popüler bir program olan Pycharm için bir lisans anahtarının reklamını yapan yer paylaşımını göstermektedir:
Dinamik Arama Ağı Reklamı aracılığıyla kötü amaçlı reklamcılık
Dinamik Arama Ağı Reklamları (DSA), reklamların oluşturulmasını otomatikleştirmek için bir web sitesinin içeriğini kullanan bir Google reklam türüdür. Bu özellik reklamverenler için çok kullanışlı olsa da, aynı zamanda olası olmayan ancak kötüye kullanım potansiyeli de beraberinde getiriyor. Aslında birisi web sitesinin içeriğini sahibinin bilgisi olmadan değiştirebiliyorsa, otomatik reklamlar tamamen yanıltıcı olabilir.
Araştırmamızın başladığı yere dönersek, ‘pycharm’ için Google’da arama yaparken ilk gördüğümüz şey budur. Reklamın başlığı “JetBrains PyCharm Professional”ı gösterirken, içerik pasajı düğün işiyle ilgili bir grup anahtar kelimeyi topluyor. Açıkçası, burada reklamın başlığının tanıttığı şey (geliştiricilere yönelik bir program) ile reklamın açıklaması (düğün planlaması) arasında bir tutarsızlık var.
Burada olan şey, Google Ads’ün bu reklamı saldırıya uğramış sayfadan dinamik olarak oluşturmasıdır, bu da web sitesi sahibini kasıtsız bir aracı ve kendi kötü amaçlı reklamının bedelini ödeyen bir kurban haline getirir.
Sahte seri, kötü amaçlı yazılım bolluğuna yol açıyor
PyCharm’ı arayan kişiler reklamın açıklamasını okumak için zaman ayırmayabilir, bunun yerine sadece başlığa tıklayacaklardır. Buradan, seri anahtarını indirme bağlantısını içeren katmanı gösteren, güvenliği ihlal edilmiş sayfaya yönlendirilecekler. Bu noktada herkes ilerlemeyecek olsa da, ilerleyenlerin muhtemelen unutamayacakları bir deneyim yaşayacaklar:
Bu yükleyiciyi çalıştırmak, yalnızca nadir durumlarda gördüğümüz türden çok sayıda kötü amaçlı yazılım bulaşmasına neden olacak ve bilgisayarı tamamen kullanılamaz hale getirecek:
Bazen deneyimsiz bir suçlu, her birinden komisyon kazanmak için mümkün olduğu kadar çok yazılım yükünden para kazanmak isteyebilir. Açıkçası bu zarif bir saldırı değil çünkü kurban bilgisayarlarının istenmeyen programlarla yüklendiğinin farkında olacak.
Durum ne olursa olsun, crackleri veya seri anahtarları indirmek bir mayın tarlasında yürümeye benzer ve bunu genellikle yalnızca bir kez yaparsınız.
Özet
Bu olay, tipik kötü amaçlı reklamcılık vakası değildir ve aslında, o web sitesini hackleyen kişinin bu olaydan haberdar olması da pek mümkün değildir. Güvenliği ihlal edilmiş sitelerden birçok farklı yolla para kazanılabilir ve tehdit aktörleri genellikle trafiğin reklamlardan değil, organik arama sonuçlarından gelmesini bekler.
Reklam kalitesi açısından bakıldığında, reklamın meşru bir işletme tarafından ödendiği ve kullanıcıları doğru hedefe götürdüğü düşünüldüğünde bunun tespit edilmesi zor olacaktır. Daha önce gördüğümüz gibi, kullanıcıları kandırmaya çalışan sahte bir alan adına kötü niyetli bir yönlendirme yoktur.
Google, spam enjeksiyonları içerdiğinden web sitesinin güvenliğinin ihlal edildiğini tespit edebilir. Durum böyleyse, Dinamik Arama Ağı Reklamları yanlışlıkla kötü amaçlı içeriğin tanıtımını yapabilir.
Kullanıcılara güvenli gezinme yapmalarını ve sponsorlu içerik konusunda her zaman dikkatli olmalarını öneririz. Crackli yazılım indirmek hiçbir zaman iyi bir fikir olmadı, ancak indirirseniz çalıştırmadan önce daima temiz olduğundan emin olun.
Düğün planlamacısına, web sitelerinin güvenliğinin ihlal edildiğini ve kötü amaçlı içeriğe yol açtığını bildirdik.
Malwarebytes, kötü amaçlı yazılımdan koruma ve buluşsal motorlarıyla tüm yükleri zaten tespit etti:
Uzlaşma Göstergeleri
Sahte serinin indirme URL’si:
eplangocview[.]com/wp-download/File.7z
Sonraki kötü amaçlı yazılım indirme URL’leri:
roberthamilton[.]top/timeSync[.]exe
109[.]107[.]182[.]2/race/bus50[.]exe
171[.]22[.]28[.]226/download/Services[.]exe
experiment[.]pw/setup294[.]exe
medfioytrkdkcodlskeej[.]net/987123[.]exe
171[.]22[.]28[.]226/download/WWW14_64[.]exe
185[.]172[.]128[.]69/newumma[.]exe
194[.]169[.]175[.]233/setup[.]exe
171[.]22[.]28[.]221/files/Ads[.]exe
171[.]22[.]28[.]213/3[.]exe
lakuiksong[.]known[.]co[.]ke/netTimer[.]exe
stim[.]graspalace[.]com/order/tuc19[.]exe
neuralshit[.]net/1298d7c8d865df39937f1b0eb46c0e3f/7725eaa6592c80f8124e769b4e8a07f7[.]exe
pic[.]himanfast[.]com/order/tuc15[.]exe
85[.]217[.]144[.]143/files/My2[.]exe
galandskiyher5[.]com/downloads/toolspub1[.]exe
gobr1on[.]top/build[.]exe
flyawayaero[.]net/baf14778c246e15550645e30ba78ce1c[.]exe
632432[.]space/385118/setup[.]exe
yip[.]su/RNWPd[.]exe
potatogoose[.]com/1298d7c8d865df39937f1b0eb46c0e3f/baf14778c246e15550645e30ba78ce1c[.]exe
185[.]216[.]71[.]26/download/k/KL[.]exe
walkinglate[.]com/watchdog/watchdog[.]exe
walkinglate[.]com/uninstall[.]exe