.webp "Kötü Amaçlı Yükler Sunan Kötü Amaçlı Slack Reklamlarına Dikkat Edin")
Siber suçlular, popüler iletişim aracı Slack’in görünüşte meşru reklamları aracılığıyla kötü amaçlı yükler sunmak için Google arama reklamlarını kullanıyor.
Bu gizli ve karmaşık saldırı, güvenlik önlemlerini aşma ve tespit edilmekten kurtulma konusunda giderek daha yetenekli hale gelen tehdit aktörlerinin gelişen taktiklerini gözler önüne seriyor.
Kötü Amaçlı Reklam Olaylarının Artışı
Geçtiğimiz yıl, Google arama reklamlarıyla ilgili yaklaşık 500 benzersiz kötü amaçlı reklam olayı bildirildi. Bu olaylar genellikle benzerlikler gösteriyor ve tehdit aktörleri tarafından koordineli kampanyalar yapıldığını gösteriyor.
Bazı kötü amaçlı reklamcılar güvenlik kontrollerini aşmak için büyük çaba sarf ederken, diğerleri hedeflerine ulaşmak için hesaplarını ve altyapılarını feda etmeye isteklidir. Slack’i hedef alan saldırı gizliliği ve karmaşıklığı nedeniyle özellikle dikkat çekicidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Bağlamsal İpuçları ve Şüpheli Reklamlar
Birkaç gün boyunca, Google arama sonuçlarının en üstünde şüpheli bir Slack reklamı belirdi. İlk bakışta reklam meşru görünüyordu ve kullanıcıları Slack’in resmi web sitesine yönlendiriyordu.
Ancak daha detaylı incelendiğinde reklamverenin Asya pazarını hedefleyen ürünleri tanıttığı, Slack reklamının ise bunlar arasında uyumsuz bir şekilde yer aldığı ortaya çıktı.
Bu anormallik şüpheleri artırdı ve tehlikeye atılmış reklamveren hesaplarının belirlenmesinde bağlamsal tespitin önemini vurguladı.
Yavaş Pişirme Stratejisi
Başlangıçta, Slack reklamına tıklamak kullanıcıları Slack’in resmi sitesindeki bir fiyatlandırma sayfasına yönlendiriyordu. “Yavaş pişirme” olarak bilinen bu taktik, tehdit aktörleri arasında yaygındır. Reklamın bir süre tespit edilmeden kalmasına izin vererek anında tespit edilmekten kaçınırlar.
Sonunda reklamın davranışı değişti ve kullanıcıları bir tıklama izleyicisine yönlendirdi. Bu, Google reklam ekosistemindeki, tıklamaları filtrelemek ve trafiği kötü amaçlı etki alanlarına yönlendirmek için kullanılabilen bir güvenlik açığıdır.
Reklamın son URL’si slack-windows-download oldu[.]com, bir haftadan kısa bir süre önce oluşturulmuş bir alan adı. Sayfa başlangıçta zararsız görünse de, daha detaylı inceleme Slack’i taklit eden ve şüphesiz kurbanlara bir indirme bağlantısı sunan kötü amaçlı bir sayfa olduğunu ortaya çıkardı.
Gizleme olarak bilinen bu taktik, farklı kullanıcılara farklı içerikler göstermeyi içerir ve bu da özel araçlar ve tehdit aktörlerinin taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında bilgi olmadan kötü amaçlı faaliyetlerin tespit edilmesini zorlaştırır.
Kötü Amaçlı Yazılım Yükü
Kötü amaçlı sayfanın indirme butonunun başka bir etki alanından dosya indirmeyi tetiklemesi, Zoom’u hedef alan paralel bir kampanyanın varlığını düşündürüyor.
Bir sanal alan ortamındaki dinamik analiz, daha önce çalma yeteneklerine sahip uzaktan erişim Truva Atı olan SecTopRAT ile ilişkilendirilmiş bir sunucuya uzaktan bir bağlantı ortaya çıkardı. Bu yük, NordVPN’i taklit edenler de dahil olmak üzere diğer kötü amaçlı reklam zincirlerinde kullanıldı.
Bu tehdide yanıt olarak, siber güvenlik firması Malwarebytes tespit kapsamını artırdı ve kötü amaçlı reklamı Google’a bildirdi. Cloudflare ayrıca sahte alan adlarını kimlik avı siteleri olarak işaretledi.
Tüm bu çabalara rağmen kötü amaçlı reklamcılar tespit edilmekten kaçınmak için ücretsiz ve ücretli platformları kullanıyor ve kampanyalarında sabır ve stratejik planlama gösteriyor.
Siber tehditler daha karmaşık hale geldikçe, bireyler ve kuruluşlar uyanık ve bilgili kalmalıdır. Kullanıcılar reklamlara tıkladıklarında dikkatli olmalı ve herhangi bir dosyayı indirmeden önce web sitelerinin meşruiyetini doğrulamalıdır.
Bilgi sahibi olarak ve proaktif güvenlik önlemleri alarak, sürekli değişen siber tehdit ortamına karşı kendimizi daha iyi koruyabiliriz.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial