Microsoft reklamverenlerini hedefleyen yeni bir kimlik avı kampanyası ortaya çıkarıldı ve kimlik bilgilerini çalmak için kötü niyetli Google reklamlarından yararlandı.
Bu saldırı, Dijital Reklam Ekosisteminde devam eden kötü niyetli tehditleri gösteren Google ADS hesaplarını hedefleyen benzer bir kampanyayı takip ediyor.
Saldırganlar, Microsoft reklamlarını (eski adıyla Bing reklamları) taklit etmek için Google’ın sponsorlu arama sonuçlarını kullandılar. Bu hileli reklamlar, kullanıcılar Google’da “Microsoft Reklamları” aradığında, bunları meşru Microsoft oturum açma sayfalarını taklit eden kimlik avı sitelerine yönlendirdiğinde ortaya çıktı.
2023 yılında 12,2 milyar dolarlık arama ve haber reklamı geliri elde eden Microsoft, arama motoru trafiği için Google ile rekabet ediyor.
Bununla birlikte, çevrimiçi reklam ağlarının açık doğası, hileli aktörlerin Google’ın güvenlik prosedürlerinden kaçarak bu yarışmayı kullanmasını sağladı.
Kötü amaçlı Google Reklamları aracılığıyla hedefleme
Tehdit aktörleri, algılamadan kaçınmak için yeniden yönlendirme ve gizleme gibi gelişmiş teknikler kullandılar. İstenmeyen IP adresleri – VPN’ler, botlar veya güvenlik tarayıcılarından olanlar gibi – kötü amaçlı reklamlara erişmeye çalışıldığında, zararsız “beyaz sayfalar” a yönlendirildiler.
Gerçek kullanıcılar, kimlik avı sayfalarına yönlendirilmeden önce özgünlüklerini doğrulamak için bir Cloudflare mücadelesine maruz kaldı.
Son kimlik avı sayfası Microsoft’un meşru reklam platformunu (ads.microsoft.com) taklit etti, ancak sahte bir alanda barındırıldı (örn. ADS[.]McRosoft[.]com).
Mağdurlara, şifrelerini sıfırlamalarını isteyen sahte bir hata mesajı sunuldu. Kimlik avı kiti ayrıca modern kimlik avı kampanyalarında ortak bir özellik olan iki faktörlü kimlik doğrulamayı (2FA) atlamaya çalıştı.
Kullanıcılar, reklam tıklaması yerine doğrudan kötü amaçlı alana gitmeleri durumunda ziyaretçilerle dalga geçmeyi amaçlayan bir “Rickroll” ile karşılandı. Tehdit aktörleri için bu ekstra bir şaşkınlık katmanıydı.
MalwareBebytes raporuna göre, bu çaba birkaç yıldır Microsoft hesaplarını hedefleyen daha büyük bir planın kampanyasıdır. Favicon gibi eserler incelenerek daha fazla kötü niyetli alan tanımlanmıştır.[.]ICO dosyaları ve URL kalıpları; Bu alanların bazıları Brezilya’da barındırıldı veya Brezilya üst düzey alanları (.com.br) kullanıldı.
Bu işlemin ölçeği, Facebook gibi diğer platformları potansiyel olarak etkileyerek Microsoft ve Google hesaplarının ötesine uzanabileceğini gösteriyor. Bu, çevrimiçi reklam ekosistemlerinde yaygın güvenlik açıklarının altını çizmektedir.
Bu tür saldırılardan kaynaklanan riskleri azaltmak için kullanıcıların bu en iyi uygulamaları izlemeleri tavsiye edilir:
Bu olay, çevrimiçi reklamcılık yoluyla devam eden kimlik avı tehdidini vurgulamaktadır. Teknoloji şirketleri güvenlik önlemlerini geliştirmeye çalıştıkça, kullanıcı uyanıklığı bu sofistike saldırılarla mücadelede kritik olmaya devam etmektedir.
Are you from SOC/DFIR Teams? – Analyse Malware Files & Links with ANY.RUN Sandox -> Start Now for Free.