Malvertising (kötü amaçlı reklamcılık), kullanıcıların cihazlarına kötü amaçlı yazılım bulaşmasına yol açabilen, çevrimiçi reklamlara zararlı kod yerleştirme uygulamasını ifade eder.
Bu teknik genellikle meşru reklam ağlarını istismar ederek, hem kullanıcıların hem de yayıncıların virüslü reklamları tespit etmesini zorlaştırır.
Gen Digital araştırmacıları yakın zamanda, “AliGater” adı verilen bir kötü amaçlı reklam kampanyasının Avrupa’da güncelliğini yitirmiş Windows kullanıcılarını aktif olarak hedef aldığını tespit etti.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
AliGater Güncel Olmayan Windows Kullanıcılarına Saldırıyor
AliGater, çoğunlukla Avrupa’da, eski Windows (7 SP1, 8.1) ve Chrome sürümlerini hedef alan gelişmiş bir kötü amaçlı reklam platformudur.
Saldırı zinciri, kötü amaçlı reklamların aligate.homes adresine yönlendirilmesiyle başlıyor ve bu da kullanıcıların parmak izlerini “User-Agent” dizeleri aracılığıyla belirliyor.
Burada, istismar edilebilir hedefler dinamik bir “*.shop” etki alanından “captcha.js” yükleyen sahte bir CAPTCHA ile karşılaşıyor.
Bu betik, kurbanın ortamını (mimari, platform, WebGL, Chrome sürümü) analiz eder ve V8 JavaScript motoru (CVE-2023-2033) ve Windows TrueType yazı tipi ayrıştırma (CVE-2011-3402) için özel olarak tasarlanmış istismarlar sunar.
Çok aşamalı yük aşağıdaki unsurları kullanır:
- Web Montajı
- XOR şifrelemesi
- Kabuk kodu enjeksiyonu
- İşlem oyuklaştırma
Bunun yanı sıra, Lumma hırsızını dağıtmak için meşru Windows yürütülebilir dosyaları (“dllhost.exe”, “SearchIndexer.exe”, “spoolsv.exe”, “svchost.exe”, “taskhost.exe”) gibi görünen yükseltilmiş işlemler oluşturur.
Saldırı syscall isteklerini kullanıyor ve belirli kullanıcı aracılarını hedef alıyor. En sık hedef alınan kullanıcı aracısı “Mozilla/5.0 (Windows NT 10.0, Win64, x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/109.0.0.0 Safari/537.36” olup bu saldırıya karşı savunmasız olan belirli sürümleri vurguluyor, dedi Gen Digital.
AliGater’ın altyapısı, tutarlı ASN’ler içinde hızla değişen alt alan adlarını (format: {random_chars}. {two_random_words}.shop) ve IP adreslerini kullanır.
İlginçtir ki AliGater, hedefleme metodolojisi, alışılmadık sistem çağrısı çağırma teknikleri ve benzer dize şifreleme yöntemleri dahil olmak üzere Magniber fidye yazılımı kampanyasıyla birçok ortak özelliğe sahiptir.
Bu durum, iki tehdit arasında olası bir bağlantı veya paylaşılan kod tabanı olduğunu, dolayısıyla Magniber’in yazarlarının altyapılarını bir hizmet olarak sunduklarını gösteriyor.
Bu karmaşık zincir aracılığıyla iletilen son yükün Lumma hırsızı olduğu tespit edilirken, altyapının başka türdeki kötü amaçlı yazılımları dağıtmak için de kullanılması mümkün olabilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial