Google reklamları, sahte Windows haber sitesinden kötü amaçlı CPU-Z uygulamasını aktarıyor


Google tarafından sahte Windows haber sitesindeki Truva atı haline getirilmiş CPU-Z uygulaması

Bir tehdit aktörü, Redline bilgi hırsızlığı yapan kötü amaçlı yazılımı sunmak amacıyla CPU-Z aracının truva atı haline getirilmiş bir sürümünü dağıtmak için Google Ads’ü kötüye kullanıyor.

Yeni kampanya, Malwarebytes analistleri tarafından fark edildi ve destek altyapısına dayanarak bunun, kötü amaçlı veriler dağıtmak için Notepad++ kötü amaçlı reklamcılığını kullanan aynı operasyonun parçası olduğunu değerlendirdi.

Kampanya ayrıntıları

Windows’taki bilgisayar donanımının profilini çıkaran bir araç olan truva atı haline getirilmiş CPU-Z’ye yönelik kötü amaçlı Google reklamı, meşru Windows haber sitesi WindowsReport’un klonlanmış bir kopyasında barındırılıyor.

CPU-Z, kullanıcıların fan hızlarından CPU saat hızlarına, voltaja ve önbellek ayrıntılarına kadar farklı donanım bileşenlerini izlemelerine yardımcı olabilecek popüler bir ücretsiz yardımcı programdır.

Kötü amaçlı Google Reklamı
Kötü amaçlı Google Reklamı (Malwarebytes)

Reklamı tıklamak, kurbanı, zararsız bir siteye geçersiz ziyaretçiler göndererek Google’ın kötüye kullanım karşıtı tarayıcılarını kandıran bir yönlendirme adımına götürür.

Yükü almak için geçerli sayılanlar, aşağıdaki etki alanlarından birinde barındırılan benzer bir Windows haber sitesine yönlendirilir:

  • argenferia[.]iletişim
  • gerçekvnc[.]profesyonel
  • kurumsalcomf[.]çevrimiçi
  • cilrix şirketi[.]profesyonel
  • Thecoopmodel[.]iletişim
  • Winscp-apps[.]çevrimiçi
  • Wireshark uygulaması[.]çevrimiçi
  • cilrix-kurumsal[.]çevrimiçi
  • çalışma alanı uygulaması[.]çevrimiçi
Yönlendirme adımları
Yönlendirme adımları (Malwarebytes)

Meşru bir sitenin klonunu kullanmanın ardındaki neden, kullanıcıların yararlı yardımcı programlar için indirme bağlantıları barındıran teknoloji haber sitelerine aşina olması nedeniyle bulaşma sürecine başka bir güven katmanı eklemektir.

Gerçek ve sahte sitenin karşılaştırılması
Gerçek ve sahte sitenin karşılaştırılması (Malwarebytes)

‘Şimdi indir’ düğmesine tıklamak, ‘FakeBat’ kötü amaçlı yazılım yükleyicisi olarak tanımlanan kötü amaçlı bir PowerShell komut dosyasını içeren dijital olarak imzalanmış bir CPU-Z yükleyicisinin (MSI dosyası) alınmasıyla sonuçlanır.

İmzalı yükleyici dosyası
Dijital olarak imzalanmış yükleyici dosyası (Malwarebytes)

Dosyanın geçerli bir sertifikayla imzalanması, cihazda çalışan Windows güvenlik araçlarının veya üçüncü taraf antivirüs ürünlerinin kullanıcıya uyarı verme olasılığını ortadan kaldırır.

Yükleyici, uzak bir URL’den bir Redline Stealer verisi alır ve bunu kurbanın bilgisayarında başlatır.

PowerShell son yükü indiriyor
PowerShell ana makinedeki son yükü indiriyor (Malwarebytes)

Redline, çeşitli web tarayıcıları ve uygulamalardan şifreleri, çerezleri ve tarama verilerinin yanı sıra kripto para cüzdanlarından hassas verileri toplayabilen güçlü bir hırsızdır.

Belirli yazılım araçlarını ararken kötü amaçlı yazılım bulaşma olasılığını en aza indirmek için kullanıcılar, Google Arama’da tanıtılan sonuçları tıklarken dikkatli olmalı ve yüklenen site ile alan adının eşleşip eşleşmediğini kontrol etmeli veya bunları otomatik olarak gizleyen bir reklam engelleyici kullanmalıdır.



Source link