Gördüğümüz kötü amaçlı arama reklamlarının çoğu Google'dan kaynaklanıyor ancak tehdit aktörleri diğer arama motorlarını da kötüye kullanıyor. Microsoft Bing, Windows ekosistemi ve Edge tarayıcısıyla yakın bağları nedeniyle muhtemelen en iyi ikinci hedeftir.
Bu blog yazısında, popüler VPN yazılımı NordVPN'in kimliğine bürünen çok yeni bir kötü amaçlı reklam kampanyasına bakıyoruz. Kötü niyetli bir reklamveren, Bing aramalarından gelen trafiği yakalıyor ve kullanıcıları, neredeyse gerçeğiyle aynı görünen sahte bir siteye yönlendiriyor.
Tehdit aktörleri, kötü niyetli bir yükleyiciyi dijital olarak imzalamaya ve onu Dropbox'ta barındırmaya çalışarak daha da ileri gitti. Kurbanlar, paketin bir parçası olduğu için NordVPN aldıkları izlenimini edinecekler, ancak aynı zamanda bilgisayarlarına yanlışlıkla SecTopRAT olarak bilinen bir Uzaktan Erişim Truva Atını da yükleyecekler.
Kötü amaçlı Bing reklamını Microsoft'a, dağıtım altyapısının diğer bölümlerini ise ilgili sağlayıcılarına bildirdik. NordVPN'in meşru bir VPN sağlayıcısı olduğunu ve tehdit aktörleri tarafından taklit edildiğini yinelemek istiyoruz.
Sahte Bing reklamı
Bing arama motoru aracılığıyla “nord vpn” araması yaparken NordVPN'i taklit eden kötü amaçlı bir reklam tespit ettik. Reklam pasajındaki URL nedeniyle reklamın kendisi şüpheli görünüyor. Alan adı nordivpn[.]xyz bir gün önce (3 Nisan 2024) oluşturuldu. Muhtemelen resmi isme oldukça benzediği ve çok yakından bakmayan kullanıcıları aldatabileceği için seçilmiştir.
Sıklıkla gördüğümüz gibi, reklam URL'si, kimliğine bürünülen siteyle aynı görünmesi amaçlanan sahte bir web sitesine yönlendirme mekanizması olarak kullanılır. Bu, bir yönlendirmemizin olduğu burada da geçerlidir. besthord-vpn[.]iletişim (' ile seçilen yazıma tekrar dikkat edin)H'bir şeye benziyor'N') bugün, yalnızca birkaç saat önce oluşturuldu.
Web sitesi inanılmaz derecede ikna edici görünüyor ve kurbanlar uygulamayı oradan indirmeleri için kandırılacak. Kayıt sürecinden geçen meşru NordVPN'in aksine, burada yükleyiciyi doğrudan Dropbox'tan indirebilirsiniz.
Kötü amaçlı reklamdan indirme bağlantısına giden trafik akışının bir özetini burada bulabilirsiniz:
Kötü amaçlı yazılım yükü
İndirilen dosyanın adı NordVPNSetup.exe ve sanki resmi satıcısından geliyormuş gibi dijital olarak imzalanmıştır; ancak imza geçerli değil.
Dosyada hem NordVPN için bir yükleyici hem de kötü amaçlı yazılım yükü bulunmaktadır. NordVPN yükleyicisinin amacı, kurbanlara aslında gerçek bir dosya yükledikleri yanılsamasını vermektir.
Yük enjekte edilir MSBuild.exe ve 45.141.87 adresinden kötü amaçlı yazılım yazarının komuta ve kontrol sunucusuna bağlanacak[.]15647 numaralı bağlantı noktasında 216.
Bu ağ trafiği Emerging Threats tarafından SecTopRAT'ın takma adı olan Arechclient2 Backdoor olarak algılanıyor.
Çözüm
Kötü amaçlı reklamcılık, popüler yazılım indirmeleri adı altında gizlice kötü amaçlı yazılım yüklemenin ne kadar kolay olduğunu göstermeye devam ediyor. Tehdit aktörleri, birçok içerik filtresini atlayarak altyapıyı hızlı ve kolay bir şekilde kullanıma sunabiliyor.
DNS Filtreleme özelliğine sahip ThreatDown müşterileri, reklamlar için kuralı etkinleştirerek çevrimiçi reklamları proaktif olarak engelleyebilir. Bu, kuruluşun tamamında veya belirli alanlarda kötü amaçlı reklamcılığı önlemenin basit ama güçlü bir yoludur.
Bu kampanyayı sonlandırmak için sektör ortaklarıyla birlikte çalışırken, kötü amaçlı reklam ve ilgili göstergeler rapor edildi.
Uzlaşma Göstergeleri
Kötü amaçlı alanlar
nordivpn[.]xyz
besthord-vpn[.]com
Sahte NordVPN yükleyicisi
e9131d9413f1596b47e86e88dc5b4e4cc70a0a4ec2d39aa8f5a1a5698055adfc
SecTopRAT C2
45.141.87[.]216