Bitdefender, kötü amaçlı masaüstü istemcileri ve PowerShell komut dosyaları aracılığıyla kötü amaçlı yazılımları yaymak için sahte kripto siteleri ve ünlü yemleri kullanarak Facebook reklam dolandırıcılıklarını ortaya çıkarır.
Bitdefender’daki güvenlik araştırmacıları bugün açıkladı, kalıcı bir kötü amaçlı yazılım kampanyası, kripto para birimi meraklılarını hedeflemek için Facebook’un reklam ağından yararlanıyor.
Operasyon, Binance ve TradingView gibi büyük kripto para birimi borsalarının güvenilir isimlerini ve Facebook reklamlarında Elon Musk ve Zendaya gibi ünlülerin görüntülerini sahte kripto para değişim promosyonlarına güvenilirlik kazandırır ve şüpheli kullanıcıları kötü niyetli yazılımlar indirmeye cezbetir.
Hackread.com ile yayınlanmasından önce paylaşılan Bitdefender’ın soruşturması, web sitesi ve kurbanın kendi bilgisayarı arasında gizli bir iletişim kanalı aracılığıyla kötü amaçlı yazılım sunan çok katmanlı bir saldırı buldu.
Araştırmacılara göre, siber suçlular Facebook hesaplarını ele geçiriyor veya hızlı finansal kazançlar veya kripto bonusları vaat eden aldatıcı reklamlar çalıştırmak için sahte olanlar oluşturuyorlar. Bu reklamları tıklamak, mağdurları meşru kripto para platformlarını taklit eden ikna edici ama hileli web sitelerine yönlendirerek onları bir “masaüstü istemcisi” indirmeye çağırıyor.
İndirildiğinde, masaüstü istemcisi bir yerel başlatan kötü amaçlı bir DLL dosyası bırakır .NET-Bilatın makinesinde tabanlı sunucu. Bu sunucu gizli bir C2 merkezi görevi görür. Sahte web sitesinin ön ucu, sunucu ile iletişim kuran, WMI (Windows Management Enstrümantasyonu) sorguları gönderen ve daha fazla kötü amaçlı yüklemler yürütmesini talimat veren bir bozulmuş komut dosyası içerir.
Son aşama genellikle uzak sunuculardan ek kötü amaçlı yazılım indiren birden fazla kodlanmış PowerShell komut dosyasının yürütülmesini içerir. Ayrıca, saldırganlar, kötü amaçlı yazılımın yalnızca siber suçlar tarafından değerli görülen belirli demografik ve davranışsal profilleri karşılayan kullanıcılara teslim edilmesini sağlayarak gelişmiş sandbox karşıtı kontroller uygular.
Bitdefender araştırmacısı Ionut Baltariu, belirli Facebook reklam izleme parametreleri olmayan kullanıcıların, Facebook’ta giriş yapmayanların veya ilgisiz IP adresleri veya işletim sistemleri olanların da zararsız içerik gösterildiğini vurguladı. Bu hedeflenen yaklaşım, saldırganların güvenlik analizine maruz kalmayı en aza indirirken etkilerini en üst düzeye çıkarmalarını sağlar.
Sadece 24 saat içinde 100 kötü amaçlı reklam
Araştırmacılar, bu kötü amaçlı sayfaları aktif olarak tanıtan yüzlerce Facebook hesabını tanımladıkları için operasyonun ölçeği önemlidir. Bir durumda, tek bir sayfa sadece 24 saat içinde 100 reklamdan fazla koştu.
Facebook genellikle bu hileli reklamları kaldırırken, birçoğu devredilmeden önce binlerce görüntüleme toplar. Hedefleme genellikle ince ayarlanmıştır, bir örnek Bulgaristan ve Slovakya’da 18 yaş ve üstü erkeklere odaklanır.
Başka bir aldatmaca katmanı ekleyen saldırganlar, TRADINGVIEW gibi platformların resmi sayfalarını mükemmel bir şekilde yansıtan sahte Facebook sayfaları bile oluşturdular. Ancak, bu sahte sayfalara gömülü bağlantılar doğrudan kötü amaçlı yazılım web sitelerine yol açar.
Facebook’un kötü amaçlı yazılım dağılımı için bir vektör olarak devam eden rolü, siber suçluların yeni nozlopil stealer’ı dağıtmak için sahte AI platformlarını tanıtan aldatıcı Facebook reklamlarını kullandığını gösteren Morphisec’ten bugünkü keşif de dahil olmak üzere daha önceki bulgular olarak gözden kaçmak zordur.
Ayrıca, siber suçluların platformun erişimini ve reklam özelliklerini kötü niyetli amaçlar için nasıl kullandığını ve kullanıcı uyanıklığı ve platform güvenlik geliştirmeleri ihtiyacını vurguladığını gösterir.
Bitdefender, kullanıcılara çevrimiçi reklamlar konusunda dikkatli olmalarını, aldatmaca ve bağlantı kontrol araçlarını kullanmalarını, güvenlik yazılımını güncel tutmasını ve korumalı kalmak için Facebook’ta şüpheli reklamları bildirmelerini tavsiye eder.