Google, kendi reklam platformunun kurbanı oldu ve bu durum tehdit aktörlerinin DeerStealer bilgi çalma kötü amaçlı yazılımını yayan sahte Google Authenticator reklamları oluşturmasına olanak tanıdı.
Yıllardır kötü amaçlı reklam (malvertising) kampanyaları, tehdit aktörlerinin ziyaretçilerin cihazlarına kötü amaçlı yazılım yükleyen tanınmış yazılım sitelerini taklit eden reklamlar yerleştirdiği Google arama platformunu hedef alıyor.
Daha da kötüsü, tehdit aktörleri, reklamlara güven duygusu katan meşru alan adlarını gösteren Google arama reklamları oluşturabiliyor.
Malwarebytes tarafından ortaya çıkarılan yeni bir kötü amaçlı reklam kampanyasında, tehdit aktörleri, kullanıcılar Google aramasında yazılımı aradığında Google Authenticator için bir reklam gösteren reklamlar oluşturdu.
Reklamı daha inandırıcı kılan şey, tıklama URL’si olarak ‘google.com’ ve “https://www.google.com” adreslerini göstermesidir; bu, reklamı üçüncü bir taraf oluşturduğunda açıkça izin verilmemesi gereken bir durumdur.
Kaynak: Malwarebytes
Bu çok etkili URL gizleme stratejisini, KeePass, Arc tarayıcısı, YouTube ve Amazon dahil olmak üzere geçmiş kötü amaçlı reklam kampanyalarında gördük. Yine de Google, bu sahte reklamların ne zaman oluşturulduğunu tespit etmekte başarısız olmaya devam ediyor.
Malwarebytes, reklam verenin kimliğinin Google tarafından doğrulandığını belirterek, bunun tehdit aktörlerinin kötüye kullandığı reklam platformundaki bir zayıflığa daha işaret ettiğini kaydetti.
Bu kötü amaçlı reklam kampanyasıyla ilgili olarak BleepingComputer’a ulaşan Google, Malwarebytes tarafından bildirilen sahte reklamvereni engellediklerini söyledi.
Tehdit aktörlerinin meşru şirketleri taklit eden reklamları nasıl yayınladıkları sorulduğunda Google, tehdit aktörlerinin aynı anda binlerce hesap oluşturarak ve metin manipülasyonu ve gizleme kullanarak incelemecilere ve otomatik sistemlere normal bir ziyaretçinin göreceğinden farklı web siteleri göstererek tespit edilmekten kaçındıklarını söyledi.
Ancak şirket, bu kötü amaçlı kampanyaları tespit edip kaldırmaya yardımcı olmak için otomatik sistemlerinin ve insan incelemecilerinin ölçeğini artırıyor. Bu çabalar, 2023’te 3,4 milyar reklamı kaldırmalarına, 5,7 milyardan fazla reklamı kısıtlamalarına ve 5,6 milyondan fazla reklamveren hesabını askıya almalarına olanak sağladı.
Sahte Google kimlik doğrulayıcı siteleri
Sahte Google Authenticator reklamlarına tıklayan ziyaretçiler, gerçek bir Google portalını taklit eden “chromeweb-authenticators.com” adresindeki açılış sayfasına bir dizi yönlendirme yoluyla yönlendiriliyor.
Kötü amaçlı yazılım analiz deneme platformu firması ANY.RUN da bu kampanyayı gözlemledi ve bu kampanyadan X’te ek açılış sayfaları paylaştı. Bunlara authenticcator-descktop gibi benzer şekilde adlandırılmış alan adları da dahildir.[.]com, chromestore-kimlik doğrulayıcı[.]com ve authentificator-gogle[.]com.
Sahte sitelerdeki ‘Authenticator’ı İndir’ butonuna tıklandığında “Authenticator.exe” adlı imzalı bir yürütülebilir dosyanın indirilmesi tetikleniyor [VirusTotal] GitHub’da barındırılıyor.
Kötü amaçlı yazılımı barındıran GitHub deposunun adı ‘authgg’, depo sahiplerinin adı ise ‘authe-gogle’. Her ikisi de kampanyanın temasıyla ilişkilendirilen isimlere benziyor.
Kaynak: Malwarebytes
İndirilen Malwarebytes örneği, indirmeden bir gün önce ‘Songyuan Meiying Electronic Products Co., Ltd.’ tarafından imzalanmışken, ANY.RUN daha önce ‘Reedcode Ltd.’ tarafından imzalanmış bir payload almıştı.
Kaynak: Malwarebytes, ANY.RUN
Geçerli imza, dosyaya Windows’ta güvenilirlik kazandırır, potansiyel olarak güvenlik çözümlerini atlatıp kurbanın cihazında uyarı yapılmadan çalışmasına olanak tanır.
İndirme işlemi tamamlandığında, web tarayıcınızda depolanan kimlik bilgilerini, çerezleri ve diğer bilgileri çalan DeerStealer bilgi çalma kötü amaçlı yazılımı başlatılır.
Yazılım indirmek isteyen kullanıcıların Google Arama’da öne çıkan sonuçlara tıklamaktan kaçınmaları, reklam engelleyici kullanmaları veya genellikle kullandıkları yazılım projelerinin URL’lerini yer imlerine eklemeleri önerilir.
Bir dosyayı indirmeden önce, bulunduğunuz URL’nin projenin resmi etki alanına karşılık geldiğinden emin olun. Ayrıca, indirilen dosyaları çalıştırmadan önce daima güncel bir AV aracıyla tarayın.
