Popüler iletişim uygulamalarına yönelik Google’daki reklamlar, Hong Konglu kişilerin cihazlarını tehlikeye atmak için bir yem olarak kullanılıyor.
Kötü amaçlı reklamcılık, belirli coğrafyaları ve hatta kullanıcıları hedeflemeyi kolaylaştıran güçlü bir kötü amaçlı yazılım veya dolandırıcılık dağıtım mekanizmasıdır. South China Morning Post’un yakın tarihli bir makalesinde, popüler WhatsApp iletişim aracına yönelik, kötü amaçlı Google reklamları yoluyla kötü amaçlı web sayfalarındaki artış tartışıldı. Gazete, bu reklamların nasıl yalnızca Hong Konglu kişileri hedef aldığını ve geçen ay yaklaşık 300 bin ABD doları tutarında zarara neden olduğunu açıkladı.
Bu durumu araştırmaya başladık ve benzer bir kampanyanın ne olabileceğini tespit edebildik. Gördüğümüz tuzak siteler, kurbanları yeni cihazlarına bağlanmak için QR kodunu taramaları için kandırmak amacıyla WhatsApp’ın web sürümüne benzer bir sayfa kullanıyordu. Bunun yerine, WhatsApp hesabına eklenen kullanıcının cihazı değil, tehdit aktörünün cihazıydı.
Ayrıca, kurbanları programın kötü amaçlı bir sürümünü indirmeye teşvik etmek amacıyla mesajlaşma aracı Telegram için reklam kullanan başka bir kampanya da bulduk. Bu saldırı yine Hong Kong sakinlerini hedef aldı.
Kötü amaçlı reklamları Google’a bildirdik ve bu kampanyalarda kullanılan altyapıyı kaldırmak için iş ortaklarımızla birlikte çalıştık.
Kötü amaçlı WhatsApp reklamı QR kod sayfasına yönlendiriyor
Tıpkı South China Morning Post’un kullanıcıların WhatsApp için kötü amaçlı reklamlar gördüğünü belirttiği gibi, biz de çevrimiçi profilimizi Hong Kong IP adresi kullanacak şekilde değiştirdikten hemen sonra bir tane bulabildik:
Reklamın metni şu şekildedir (Çince’den çevrilmiştir):
WhatsApp Yeni Sürümü – WhatsApp Resmi Yetkilendirmesi
Güvenli ve güvenilir iletişim uygulamalarının yanı sıra çeşitli eğlenceli ve ilginç işlevleri sürekli olarak güncelliyor ve başlatıyoruz. İndirmeye ve deneyimlemeye hoş geldiniz. Çapraz platform uygulaması size güvenilir bir deneyim sunar ve istediğiniz zaman arkadaşlarınıza özel mesajlar gönderebilirsiniz.
Reklama tıklamak, sizi WhatsApp Web gibi davranan, inandırıcı, benzer, Çince bir siteye yönlendiriyor:
İlginç olan ve bir tuzak olarak işe yarayan şey, WhatsApp’ın sadece bir cep telefonu uygulaması olmaması, aynı zamanda bilgisayarlar için de bir web sürümüne sahip olmasıdır. Bunun gerçek alan adı web.whatsapp.com adresinde barındırılır ve ayrıca bağlı bir cihazı hesabınıza eklemek için bir QR kodu kullanır. Bunun anlamı, QR kodunu tarayıp telefonunuzdan yeni cihazı yetkilendirdikten sonra PC’nizde veya Mac’inizde WhatsApp’ı kullanabileceğinizdir.
Buradaki sorun, taradığınız QR kodunun WhatsApp ile hiçbir ilgisi olmayan kötü amaçlı bir siteden gelmesidir:
Bu QR kodlarını oluşturmak için kullanılan alan adı (lawrencework[.]com) sadece iki gün önce kaydoldu. Urlscan.io’da yapılan bir arama, bunun başka birçok sahte WhatsApp sayfasıyla ilişkili olduğunu ortaya koyuyor. QR kodunu, daha önce bağlı herhangi bir cihaz olmadan yepyeni bir WhatsApp hesabıyla kullanabileceğiniz bir telefondan ekleyerek test ettik. Birkaç saniye sonra yeni bir cihazın eklendiğini gördük (Mac OS’ta çalışan Google Chrome):
Bu yeni cihaz hakkında daha fazla bilgi (IP adresi, coğrafi konum) alamasak da onun bize ait olmadığını biliyorduk. Yeni bir cihazı WhatsApp hesabınıza bağladığınızda kayıtlı sohbet geçmişi cihazla senkronize edilir. Bu, bir saldırganın geçmiş ve gelecekteki konuşmalarınızın tamamını okuyabileceği ve kayıtlı kişilerinize erişebileceği anlamına gelir.
Telegram reklamının kötü amaçlı yazılımlara bağlantıları
Bu kampanyayla ilgili gördüğümüz ikinci reklam Telegram’ı yem olarak kullanıyordu. Reklamın aynı reklamverene ait olması nedeniyle bunun yukarıdaki WhatsApp saldırısıyla ilgili olduğunu biliyoruz.
Reklamın metni şu şekildedir (Çince’den çevrilmiştir):
telegram resmi web sitesi – telegram Çince versiyonu – telegram indir Telegram Çince versiyonu, Çinli kullanıcılar için özel olarak geliştirilmiş bir Telegram istemcisidir. Daha heyecan verici bilgiler sunan yeni bir bilgi çağı olan Çin kanalına hoş geldiniz
Bir indirme sitesi gibi görünen bir Google Dokümanlar sayfasına bağlantı verir:
Telegram anlık mesajlaşma – basit, hızlı, güvenli ve tüm cihazlarınızda senkronize edilir. 500 milyondan fazla aktif kullanıcısı ile dünyanın en çok indirilen uygulamalarından biridir. En son resmi Telegram Çince bilgisayar sürümü TG-Çince sürümü: İndirmek için tıklayın TG-PC: İndirmek için tıklayın
İki bağlantı (aynı) aşağıdaki URL’den bir MSI yükleyicisini indirir:
kolunite.oss-ap-southeast-7.aliyuncs[.]com/HIP-THH-19-1.msi
Bu yükleyiciye kötü amaçlı yazılım enjekte edildi ve bunu çalıştırdığımızda görebiliriz:
Hedefli kötü amaçlı reklamcılık ve nedenler
WhatsApp ve Telegram markalarını kötüye kullanan bu iki kampanya, çeşitli nedenlerle kullanılabilir. Her ne kadar her ikisi de veri hırsızlığına, kimliğe bürünmeye ve kötü amaçlı yazılıma yol açsa da, nihai hilenin ne olduğunu daha fazla araştırmadık. Tehdit aktörü, geçmiş konuşmalardaki herhangi bir özel bilgiyi kullanabilir, kurbanın iletişim bilgilerini ele geçirebilir ve çok daha fazlasını yapabilir.
Bu, Hong Kong’u hedef alan kötü amaçlı reklam saldırılarına yönelik ilk girişimimizdi. Çin Halk Cumhuriyeti’nin bu özel idari bölgesinin Pekin ile uzun bir gerilim geçmişine sahip olduğu göz önüne alındığında, bunun gibi kötü amaçlı reklam kampanyalarının siyasi nedenlerle kullanılabileceğini düşünmeden edemedik, ancak buna dair hiçbir kanıt görmedik.
Ek cihazları QR kodu aracılığıyla bağlamak yararlı bir özelliktir ancak aynı zamanda kolayca kötüye de kullanılabilir. QR kodlarını hangi sitenin verdiğini doğrulayarak tararken dikkatli olmanız önemlidir. Hangi cihazların hesaplarınıza erişimi olduğunu düzenli aralıklarla kontrol etmek ve tanımadıklarınızı iptal etmek iyi bir fikirdir.
Android’de QR kod taramasına yardımcı olduğu için Nathan Collier’a teşekkür ederiz.
Uzlaşma Göstergeleri
Kötü amaçlı WhatsApp alanları
uaa.vvg2rt[.]top
wss.f8ddcc[.]com
QR kodu ana bilgisayar adı
119srv[.]lawrencework[.]com
Telegram MSI URL’si
kolunite.oss-ap-southeast-7.aliyuncs[.]com/HIP-THH-19-1.msi
MSI Telgrafı
36d11b18d3345ff743f7b003d10a0820c8c1661dd7dc279434e436de798c3a4b