Google Reklamları Aracılığıyla Sunulan Gizli, Finansal Bir Truva Atı ve Bilgi Hırsızı


02 Mayıs 2023Ravie LakshmananKötü Amaçlı Reklam / Siber Tehdit

Google Reklamları

Tehdit aktörlerinin kötü amaçlı yazılım sunmak için Google Ads’ü nasıl kötüye kullandığının bir başka örneğinde, bir tehdit aktörünün bu tekniği Windows tabanlı yeni bir finansal truva atı ve bilgi hırsızı olarak adlandırmak için kullandığı gözlemlendi. LOBSHOT.

Elastic Security Labs araştırmacısı Daniel Stepanic, geçen hafta yayınlanan bir analizde, “LOBSHOT, dikkat çekmeden kurbanları toplamaya devam ediyor.” dedi.

“LOBSHOT’un temel yeteneklerinden biri, hVNC (Gizli Sanal Ağ Bilgi İşlem) bileşeni etrafındadır. Bu tür modüller, makineye doğrudan ve gözlemlenmemiş erişime izin verir.”

Amerikan-Hollandalı şirket, kötü amaçlı yazılım türünü, tarihsel olarak grupla bağlantılı altyapıya dayalı olarak TA505 olarak bilinen bir tehdit aktörüne bağladı. TA505, Evil Corp, FIN11 ve Indrik Spider adları altında izlenen faaliyet kümeleriyle örtüşen, finansal olarak motive edilmiş bir e-suç örgütüdür.

Siber güvenlik

Son gelişme önemlidir, çünkü Dridex bankacılık truva atı ile ilişkilendirilen TA505’in kötü amaçlı yazılım cephaneliğini veri hırsızlığı ve finansal dolandırıcılık yapmak için bir kez daha genişlettiğinin bir işaretidir.

İlk örnekleri Temmuz 2022’ye dayanan LOBSHOT, operatörler tarafından tutulan benzer açılış sayfalarından oluşan bir ağda barındırılan AnyDesk gibi meşru araçlar için hileli Google reklamları aracılığıyla dağıtılır.

Kötü amaçlı yazılım, güvenlik yazılımı tarafından algılanmaktan kaçınmak için dinamik içe aktarma çözünürlüğü (yani, çalışma zamanında gerekli Windows API’lerinin adlarını çözümleme), öykünme önleme kontrolleri ve dize gizleme içerir.

Kurulduktan sonra, kalıcılığı ayarlamak için Windows Kayıt Defteri değişikliklerini yapar ve Google Chrome, Microsoft Edge ve Mozilla Firefox gibi web tarayıcılarında bulunan 50’den fazla kripto para birimi cüzdan uzantısından verileri sifonlar.

Google Reklamları

LOBSHOT’un diğer dikkate değer özellikleri, güvenliği ihlal edilmiş ana bilgisayara bir hVNC modülü aracılığıyla uzaktan erişme ve kurbanın dikkatini çekmeden üzerinde gizlice eylemler gerçekleştirme yeteneği etrafında döner.

Stepanic, “Tehdit grupları, LOBSHOT gibi arka kapılarla meşru yazılımları maskelemek için kötü amaçlı reklamcılık tekniklerinden yararlanmaya devam ediyor.” dedi.

“Bu tür kötü amaçlı yazılımlar küçük görünüyor, ancak sonunda tehdit aktörlerinin tamamen etkileşimli uzaktan kontrol yetenekleriyle ilk erişim aşamalarında hızlı hareket etmesine yardımcı olan önemli işlevler içeriyor.”

YAKLAŞAN WEBİNAR

Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin

Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.

Koltuğumu Kurtar!

Bulgular ayrıca, giderek artan sayıda rakibin, kullanıcıları sahte web sitelerine yönlendirmek ve popüler yazılımların truva atlı yükleyicilerini indirmek için bir teknik olarak kötü amaçlı reklamcılık ve arama motoru optimizasyonu (SEO) zehirlenmesini nasıl benimsediğinin altını çiziyor.

eSentire’den alınan verilere göre, GootLoader’ın arkasındaki tehdit aktörleri, ABD, Kanada, Birleşik Krallık ve Avustralya’daki hukuk firmalarını ve kurumsal hukuk departmanlarını hedef alan bir dizi saldırıyla bağlantılı.

2018’den beri aktif olan ve fidye yazılımı saldırıları için ilk hizmet olarak erişim işlemi işlevi gören GootLoader, kötü amaçlı yazılım içeren bağlantılara işaret eden virüslü WordPress bloglarına anlaşma ve sözleşme arayan kurbanları ikna etmek için SEO zehirlenmesi kullanıyor.

Saldırı zinciri, belirli bölgelerdeki kurbanları hedeflemek için geofencing uygulamasının yanı sıra, olay müdahale ekipleri tarafından keşfedilmesinden kaçınmak için kötü amaçlı yazılımın ele geçirilen sitelerden günde yalnızca bir kez indirilebileceği şekilde tasarlanmıştır.

eSentire, GootLoader’ın halihazırda saldırıya uğramış kurbanları taramak için IP adresi yöntemini kullanmasının, son kullanıcıların IP adreslerini önleyici olarak bloke etmek ve kuruluşların potansiyel virüs bulaşmasını önlemek için ona karşı kullanılabileceğini buldu.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link