Siber güvenlik araştırmacıları, Microsoft reklamverenlerini, kimlik bilgilerini hasat edebilen kimlik avı sayfalarına götürmeyi amaçlayan sahte Google reklamları olan bir kötü niyetli kampanya keşfetti.
MalwareBebytes Araştırma Direktörü Jérôme Segura, Perşembe raporunda, “Google Search’te görünen bu kötü niyetli reklamlar, Microsoft’un reklam platformuna erişmeye çalışan kullanıcıların giriş bilgilerini çalmak için tasarlandı.” Dedi.
Bulgular, siber güvenlik şirketinin, arama devinin reklam platformu aracılığıyla reklam veren bireyleri ve işletmeleri hedeflemek için sponsorlu Google reklamlarını kullanan benzer bir kampanyayı ortaya çıkarmasından birkaç hafta sonra geldi.
En son saldırı kümesi, Google Search’teki “Microsoft Reklamlar” gibi terimleri arayan kullanıcıları, arama sonuçları sayfalarında sponsorlu reklamlar şeklinde sunulan kötü amaçlı bağlantıları tıklamayı kandırmayı umuyor.
Aynı zamanda, kampanyanın arkasındaki tehdit aktörleri, güvenlik araçlarıyla tespitten kaçınmak için çeşitli teknikler kullanıyor. Bu, VPN’lerden gelen trafiği bir sahte pazarlama web sitesine yönlendirmeyi içerir. Site ziyaretçilerine botları filtrelemek için Cloudflare zorlukları da sunulmaktadır.
Son fakat en az değil, son açılış sayfasını doğrudan ziyaret etmeye çalışan kullanıcılar (“ads.mcrosoftt[.]com “) onları ünlü internet memesine bağlı bir YouTube videosuna yönlendirerek rickrolled.
Kimlik avı sayfası, meşru muadilinin (“ads.microsoft[.]com “) kurbanın giriş kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını yakalamak için tasarlanmıştır ve saldırganlara hesaplarını kaçırma yeteneği verir.
Malwarebebytes, Microsoft hesaplarını birkaç yıla kadar uzanan ek kimlik avı altyapısı belirlediğini ve kampanyanın bir süredir devam ettiğini ve Meta gibi diğer reklam platformlarını da hedeflemiş olabileceğini düşündürdüğünü söyledi.
Bir başka dikkate değer yönü, kimlik avı alanlarının çoğunluğunun Brezilya’da barındırılması ya da “.com.br” Brezilya üst düzey alana sahip olması ve ağırlıklı olarak barındırılan Google Reklam kullanıcılarına paralellikler çizmesidir. PT “TLD.
Hacker News, yorum için Google’a ulaştı, ancak şirket daha önce yayına, kullanıcıları bilgileri çalmak amacıyla dupe yapmaya çalışan reklamları yasaklamanın adımlar attığını ve bu tür karşı önlemleri yürürlüğe koymak için aktif olarak çalıştığını söyledi. çabalar.
Smishing saldırıları USP’leri taklit ediyor
Açıklama, ABD Posta Hizmetini (USPS) taklit ederek mobil cihaz kullanıcılarını yalnızca hedeflemek için başarısız paket teslimat yemini kullanan bir SMS kimlik avı kampanyasının ortaya çıkmasını izlemektedir.
Zimperium Zlabs araştırmacısı Fernando Ortega, bu hafta yayınlanan bir raporda, “Bu kampanya, kimlik bilgilerini çalmak ve duyarlı verileri tehlikeye atmak için tasarlanmış kötü niyetli PDF dosyaları sunmak için sofistike sosyal mühendislik taktikleri ve daha önce hiç görülmemiş bir gizleme araçları kullanıyor.” Dedi.
Mesajlar, alıcıları teslimatı tamamlamak için adreslerini güncellemek için eşlik eden bir PDF dosyası açmaya teşvik eder. PDF belgesinde, kurbanı bir USPS Kimlik avı web sayfasına yönlendiren bir “GÜNCELLEME tıklayın” düğmesi bulunur ve burada posta adreslerini, e -posta adreslerini ve telefon numaralarını girmeleri istenir.
Kimlik avı sayfası, ödeme kartı ayrıntılarını yeniden teslimat için bir servis ücreti kisvesi altında yakalamak için donanımlıdır. Girilen veriler daha sonra şifrelenir ve saldırganın kontrolü altında uzak bir sunucuya iletilir. Kampanyanın bir parçası olarak 20 kadar kötü niyetli PDF ve 630 kimlik avı sayfası tespit edildi ve bu da büyük ölçekli bir operasyon gösterdi.
Ortega, “Bu kampanyada kullanılan PDF’ler, standart /URI etiketini kullanmadan tıklanabilir bağlantılar yerleştirerek analiz sırasında URL’lerin çıkarılmasını daha zor hale getiriyor.” “Bu yöntem, PDF dosyalarındaki bilinen kötü amaçlı URL’lerin birkaç uç nokta güvenlik çözümünün tespitini atlamasını sağladı.”
Etkinlik, siber suçluların, kullanıcıların popüler markalara ve resmi görünümlü iletişimlere olan güveninden yararlanan sosyal mühendislik saldırılarını çekmek için mobil cihazlardaki güvenlik boşluklarından yararlandığının bir işaretidir.
Benzer USPS temalı smishing saldırıları, Apple’ın Imessage’ı, Triad, Sminging Triad olarak bilinen Çince konuşan bir tehdit oyuncusu tarafından kabul edildiği bilinen bir teknik olan kimlik avı sayfalarını sunmak için kullandı.
Bu tür mesajlar ayrıca, mesaj bilinen bir gönderenden veya bir kullanıcının yanıtladığı bir hesaptan olmadığı sürece, iMessage’da bağlantıların tıklanabilir olmasını önleyen bir güvenlik ölçüsünü atlamaya çalışır. Bu, iMessage’ın yerleşik kimlik avı korumasını kapatmak için “lütfen Y’ye Yanıtla” veya “Lütfen 1’e Yanıtla” mesajı ekleyerek gerçekleştirilir.
Bu yaklaşımın daha önce, USPS ve 100’den fazla ülkedeki diğer yerleşik kuruluşlar gibi posta hizmetlerini kapsamlı bir şekilde hedeflemek için kullanılan Darcula adlı bir Hizmet Olarak Kimlik Avı (PHAAS) araç seti ile ilişkili olduğunu belirtmek gerekir.
Huntress araştırmacısı Truman Kain, “Dolandırıcılar bu saldırıyı nispeten iyi inşa ettiler, bu yüzden muhtemelen vahşi doğada çok sık görülüyor.” Dedi. “Basit gerçek, çalışıyor.”