Malwarebytes Tehdit İstihbaratı Direktörü Jérôme Segura, KeePass şifre yöneticisini ve Notepad++ metin düzenleyicisini aramak ve indirmek için Google’ı kullanan kullanıcıların yanlışlıkla kötü amaçlı yazılımlara maruz kalmış olabileceğini söylüyor.
Arama motoru reklamları aracılığıyla yapılan kötü amaçlı reklamcılık, görünüşte hiçbir zaman ortadan kalkmayan, sürekli gelişen bir tehdittir ve Malwarebytes’e göre yeniden artış göstermektedir.
“Tehdit aktörleri, reklam doğrulama kontrollerini atlayan ve belirli türdeki kurbanları hedeflemelerine olanak tanıyan kaçırma tekniklerini başarıyla uyguluyor” diyor.
Yem olarak KeePass
Kötü amaçlı yazılım satıcıları, kötü amaçlı reklamların ve yönlendirdikleri sitelerin meşru görünmesini sağlamak için bir dizi akıllı numaraya sahiptir.
Segura tarafından yakın zamanda tespit edilen bir kampanyada, KeePass’ın resmi web sitesini taklit etmek için Unicode karakterleri ASCII’ye dönüştüren özel bir karakter kodlaması olan Punycode kullanılıyor.
“Kötü amaçlı reklam, popüler açık kaynaklı şifre yöneticisi ‘keepass’ için Google’da arama yaptığınızda ortaya çıkıyor. Reklam, resmi Keepass logosunu ve URL’sini içerdiği ve meşru web sitesinin organik arama sonucundan önce yer aldığı için son derece aldatıcıdır” diye açıkladı.
Reklamı tıklayan kullanıcılar şu adreste bulunan bir siteye yönlendirilir: xn--eepass-vbb[.]bilgiancak şu şekilde dönüştürüldü: pençe geçişi[.]bilgi tarayıcılar tarafından.
Punycode’u ASCII’ye dönüştürme (Kaynak: Malwarebytes)
“Çok az fark edilse de ‘k’ harfinin altında küçük bir karakter var” diye belirtti. Resmi KeePass sitesini şu adreste bulabilirsiniz: keepass.info.
Kötü amaçlı site yasal siteye çok benziyor ve kurbanlar KeePass’ı indirdiklerini düşünüyor, ancak aslında kötü amaçlı yazılımın indirilmesini tetikleyecek dijital olarak imzalanmış kötü amaçlı bir .msix yükleyicisini indiriyorlar.
Yem olarak Notepad++
Başka bir kampanyada, farklı reklam hesapları aracılığıyla gönderilen Notepad++ için çeşitli Google arama reklamları, bazı kullanıcıları gerçek Notepad++ web sitesinin bir kopyasına yönlendiriyor.
Bununla birlikte, teknoloji konusunda daha bilgili kullanıcılar ve araştırmacıların incelemesini önlemek için reklamlar, VPN’leri veya emülatörleri veya sanal makineleri çalıştıran bir sistemi kullanan kullanıcıları ya sahte bir siteye ya da meşru olana yönlendirir.
İlk grupta, her potansiyel kurbana, kötü amaçlı yükü indirmelerine olanak sağlayacak benzersiz bir kimlik atanır. Segura, “Bu muhtemelen izleme amaçlıdır, ancak aynı zamanda her indirmeyi benzersiz ve zamana duyarlı hale getirmek içindir” diye açıkladı.
Malwarebytes, indirilen dosya tarafından indirilmesi tetiklenen gerçek son veriyi ele geçiremedi .hta ancak saldırganların kurbanların makinelerine erişmesine izin veren kötü amaçlı yazılım olması muhtemeldir.
Tüketiciler ve işletmeler için tavsiyeler
Arama motorları aracılığıyla yapılan kötü amaçlı reklamcılık giderek daha karmaşık hale geliyor,” diye tamamladı Segura.
“Son kullanıcılar için bu, programları nereden indirdiğinize ve bunlardan kaçınmanız gerektiğine çok dikkat etmenin çok önemli hale geldiği anlamına geliyor. Bir iş ortamında, BT yöneticilerinin, çalışanların yazılım yükleyicilerini güvenli bir şekilde alabilecekleri dahili depolar sağlamasını öneriyoruz.”