Popüler yazılımları arayan kullanıcılar, Raccoon Stealer ve Vidar gibi kötü amaçlı yazılım dağıtan truva atı değiştirilmiş varyantları sunmak için Google Ads’ü kötüye kullanan yeni bir kötü amaçlı reklam kampanyası tarafından hedefleniyor.
Etkinlik, belirli anahtar kelimeler için yapılan aramaları ele geçirerek kötü amaçlı reklamlar biçiminde Google arama sonuçlarının en üstünde görünen, yazım yanlışı yapılmış alan adlarına sahip, görünüşte güvenilir web sitelerinden yararlanır.
Bu tür saldırıların nihai amacı, şüphelenmeyen kullanıcıları kötü niyetli programları veya potansiyel olarak istenmeyen uygulamaları indirmeleri için kandırmaktır.
Guardio Labs tarafından ifşa edilen bir kampanyada, tehdit aktörlerinin, arama motorunda tanıtılan ve tıklandığında ziyaretçileri Dropbox veya OneDrive’da barındırılan truva atlı bir ZIP arşivi içeren bir kimlik avı sayfasına yönlendiren zararsız sitelerden oluşan bir ağ oluşturduğu gözlemlendi.
Araştırmacı Nati Tal, “Bu ‘kılık değiştirmiş’ siteler, hedeflenen ziyaretçiler (gerçekten tanıtılan arama sonucuna tıklayanlar) tarafından ziyaret edildiği anda, sunucu onları hemen hileli siteye ve oradan da kötü niyetli yüke yönlendiriyor” dedi.
Taklit edilen yazılımlar arasında AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack ve Zoom ve diğerleri bulunur.
Kampanyaya MasquerAds adını veren Guardio Labs, etkinliğin büyük bir bölümünü Vermux adı altında izlediği bir tehdit aktörüne atfediyor ve rakibin “çok sayıda markayı kötüye kullandığını ve gelişmeye devam ettiğini” belirtiyor.
Vermux operasyonu, kripto para madencilerini ve Vidar bilgi hırsızını çoğaltmak için AnyDesk ve MSI Afterburner aramalarına göre uyarlanmış masquerAds sitelerini kullanarak Kanada ve ABD’deki kullanıcıları seçti.
Geliştirme, kullanıcıları hileli Android ve Windows uygulamaları yüklemeye çekmek için meşru yazılımları taklit eden yazım hatalarına maruz kalmış etki alanlarının sürekli kullanımına işaret ediyor.
Ayrıca, Google Ads platformunun kötü amaçlı yazılım dağıtmak için ilk kez kullanılmasından da çok uzak. Microsoft geçen ay, daha sonra Royal fidye yazılımını düşürmek için kullanılan BATLOADER’ı dağıtmak için reklam hizmetinden yararlanan bir saldırı kampanyasını açıkladı.
BATLOADER bir yana, kötü niyetli aktörler kötü amaçlı IcedID kötü amaçlı yazılımını Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird ve TeamViewer gibi iyi bilinen uygulamaların klonlanmış web sayfaları aracılığıyla dağıtmak için kötü amaçlı reklam teknikleri de kullandı.
Trend Micro geçen hafta “IcedID, Cobalt Strike ve diğer kötü amaçlı yazılımlar da dahil olmak üzere diğer yükleri dağıtma yeteneğine sahip kayda değer bir kötü amaçlı yazılım ailesidir.” dedi. “IcedID, saldırganların veri hırsızlığı ve felce uğratan fidye yazılımı gibi toplam sistem güvenliğinin aşılmasına yol açan son derece etkili takip saldırıları gerçekleştirmesini sağlar.”
Bulgular, ABD Federal Soruşturma Bürosu’nun (FBI) “siber suçluların markaları taklit etmek ve kullanıcıları fidye yazılımı barındıran ve oturum açma kimlik bilgilerini ve diğer finansal bilgileri çalan kötü niyetli sitelere yönlendirmek için arama motoru reklam hizmetlerini kullandığı” konusunda uyardığı sırada da geldi.