Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Kötü Amaçlı Reklamcılık Hizmeti, Kötü Amaçlı Yazılım Dağıtımı için Google Reklamlarını ve Tuzak Sayfalarını Kullanıyor
Prajeet Nair (@prajeetspeaks) •
18 Aralık 2023
Siber suçlular, işletmeleri hedef alan yeni kötü amaçlı yazılımları dağıtmak için arama motorları aracılığıyla giderek daha fazla kötü amaçlı reklamlar kullanıyor ve bu da sosyal mühendislik kampanyaları da dahil olmak üzere tarayıcı tabanlı saldırılarda artışa işaret ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Malwarebytes’teki araştırmacılar, 2023’ün başlarında ortaya çıkan kötü amaçlı yazılım ailesi PikaBot’un kötü amaçlı reklamcılık yoluyla dağıtıldığını ve TA577 olarak bilinen bir tehdit aktörü tarafından kullanıldığını gözlemledi.
En son kampanya, arama ağı reklamlarından yararlanmayı içeriyor ve belirtiler, kötü amaçlı yazılım dağıtıcılarının Google’ın güvenlik önlemlerini atlatmasına yardımcı olacak özel hizmetlerin varlığını gösteriyor.
Bu taktik, FakeBat gibi tehditleri yaymak için kullanılan, önceden tanımlanmış kötü amaçlı reklam zincirlerini anımsatan sahte altyapılar kurmalarına olanak tanıyor.
Şubat ayında Unit42’deki araştırmacılar bağlantılı PikaBot, Proofpoint tarafından TA577’ye atfedilen bir malspam kampanyasında Matanbuchus düşüşüne neden oldu. Araştırmacılar, tehdit aktörünün QakBot, IcedID, SystemBC ve Cobalt Strike gibi veri yüklerini dağıttığını gördü.
TA577 aynı zamanda fidye yazılımı dağıtımına da bağlandı. Ağustos ayındaki QakBot botnet’inin kaldırılmasının ardından Cofense araştırmacıları, hem DarkGate hem de PikaBot’u sunan malspam kampanyalarında bir artış gözlemledi.
Tipik PikaBot dağıtım zinciri, kullanıcıları kötü amaçlı JavaScript içeren bir zip arşivini indirmeye yönlendiren e-postaları içerir.
JavaScript, harici bir web sitesinden kötü amaçlı yükü almak için rastgele bir dizin yapısı oluşturur ve bunu, DLLS adı verilen DLLS’yi çalıştırmak için kullanılan bir Windows işletim sistemi işlevi aracılığıyla yürütür. rundll32.
Bu kampanya, uzak uygulama AnyDesk için Google aramalarına odaklanıyor ve güvenlik araştırmacısı Colin Cowie dağıtım zincirini tanımladı ve yükün PikaBot olduğunu doğruladı. buna göre Ole Villadsen.
Bu kampanyanın bir başka örneğinde, AnyDesk markasıyla ilişkilendirilen sahte “Manca Marina” kişiliğine aitmiş gibi davranan ve şu adreste sahte bir web sitesi içeren bir reklam kullanıldı: anadesky.ovmv.net.
İndirme, dijital olarak imzalanmış bir MSI yükleyicisidir ve toplandığında VirusTotal’da sıfır algılamaya sahip olmasıyla dikkat çekmektedir. Özellikle ilgi çekici olan, infaz sırasında tespit edilmekten kaçabilme yeteneğidir.
FakeBat ile Benzerlikler
Tehdit aktörleri, Google’ın güvenlik kontrollerini atlamak için meşru bir pazarlama platformu aracılığıyla bir izleme URL’sinden yararlanır ve Cloudflare’in arkasındaki özel alanlarına yönlendirme yapar. Araştırmacılar, yalnızca temiz IP adreslerinin bir sonraki adıma geçebileceğini söyledi.
Tehdit aktörleri, parmak izi almak ve kullanıcının sahte bir AnyDesk sitesi olan ana açılış sayfasına yönlendirmeden önce sanal makine çalıştırıp çalıştırmadığını kontrol etmek için JavaScript kullanıyor. Başarılı bir kontrolün ardından, kullanıcı indirme düğmesine tıkladığında, muhtemelen bağlantının sanallaştırılmış bir ortamda çalışmadığından emin olmak için ikinci bir parmak izi alma denemesi gerçekleştirilir.
Önceki kötü amaçlı reklam zincirleri, onelink.me ve benzeri URL yapıları Google’a raporlanarak Zoom ve Slack arama reklamları hedeflendi ve FakeBat gibi veriler belirlendi. Araştırmacılar, bu modelin tehdit aktörleri arasında ortak bir süreç olduğunu ve muhtemelen kötü amaçlı yazılım dağıtıcılarına Google reklamları ve sahte sayfalar sağlayan bir hizmet olarak kötü amaçlı reklamcılık modelinin göstergesi olduğunu söyledi.