Bir tehdit aktörü, Redline bilgi hırsızlığı yapan kötü amaçlı yazılımı sunmak amacıyla CPU-Z aracının truva atı haline getirilmiş bir sürümünü dağıtmak için Google Ads’ü kötüye kullanıyor.
Yeni kampanya, Malwarebytes analistleri tarafından fark edildi ve destek altyapısına dayanarak bunun, kötü amaçlı veriler dağıtmak için Notepad++ kötü amaçlı reklamcılığını kullanan aynı operasyonun parçası olduğunu değerlendirdi.
Kampanya ayrıntıları
Windows’taki bilgisayar donanımının profilini çıkaran bir araç olan truva atı haline getirilmiş CPU-Z’ye yönelik kötü amaçlı Google reklamı, meşru Windows haber sitesi WindowsReport’un klonlanmış bir kopyasında barındırılıyor.
CPU-Z, kullanıcıların fan hızlarından CPU saat hızlarına, voltaja ve önbellek ayrıntılarına kadar farklı donanım bileşenlerini izlemelerine yardımcı olabilecek popüler bir ücretsiz yardımcı programdır.
Reklamı tıklamak, kurbanı, zararsız bir siteye geçersiz ziyaretçiler göndererek Google’ın kötüye kullanım karşıtı tarayıcılarını kandıran bir yönlendirme adımına götürür.
Yükü almak için geçerli sayılanlar, aşağıdaki etki alanlarından birinde barındırılan benzer bir Windows haber sitesine yönlendirilir:
- argenferia[.]iletişim
- gerçekvnc[.]profesyonel
- kurumsalcomf[.]çevrimiçi
- cilrix şirketi[.]profesyonel
- Thecoopmodel[.]iletişim
- Winscp-apps[.]çevrimiçi
- Wireshark uygulaması[.]çevrimiçi
- cilrix-kurumsal[.]çevrimiçi
- çalışma alanı uygulaması[.]çevrimiçi
Meşru bir sitenin klonunu kullanmanın ardındaki neden, kullanıcıların yararlı yardımcı programlar için indirme bağlantıları barındıran teknoloji haber sitelerine aşina olması nedeniyle bulaşma sürecine başka bir güven katmanı eklemektir.
‘Şimdi indir’ düğmesine tıklamak, ‘FakeBat’ kötü amaçlı yazılım yükleyicisi olarak tanımlanan kötü amaçlı bir PowerShell komut dosyasını içeren dijital olarak imzalanmış bir CPU-Z yükleyicisinin (MSI dosyası) alınmasıyla sonuçlanır.
Dosyanın geçerli bir sertifikayla imzalanması, cihazda çalışan Windows güvenlik araçlarının veya üçüncü taraf antivirüs ürünlerinin kullanıcıya uyarı verme olasılığını ortadan kaldırır.
Yükleyici, uzak bir URL’den bir Redline Stealer verisi alır ve bunu kurbanın bilgisayarında başlatır.
Redline, çeşitli web tarayıcıları ve uygulamalardan şifreleri, çerezleri ve tarama verilerinin yanı sıra kripto para cüzdanlarından hassas verileri toplayabilen güçlü bir hırsızdır.
Belirli yazılım araçlarını ararken kötü amaçlı yazılım bulaşma olasılığını en aza indirmek için kullanıcılar, Google Arama’da tanıtılan sonuçları tıklarken dikkatli olmalı ve yüklenen site ile alan adının eşleşip eşleşmediğini kontrol etmeli veya bunları otomatik olarak gizleyen bir reklam engelleyici kullanmalıdır.