2023, dijital ortamı tanımlayan siber tehditlerin labirentinde, özellikle zararlı bir düşmanın, halk dilinde “kötü amaçlı reklamcılık” olarak bilinen kötü amaçlı reklamların yeniden dirilişine tanık oldu.
Bu hain strateji, geleneksel güvenlik tahkimatlarını atlatan sofistike bir dans sergileyerek gözünü işletmelere dikti.
Bu dijital saldırının ön saflarında, kurumsal ağların tahkimatlarına sızmak için Google Ads’ün geniş erişimini ustaca kullanan bir kötü amaçlı yazılım türü olan sinsi PikaBot yer alıyor.
Spam’dan Arama Motorlarına Uğursuz Bir Bale
PikaBot’un gizli yolculuğu, kötü şöhretli tehdit aktörü TA577 tarafından düzenlenen e-posta spam kampanyalarının karanlık diyarlarında başladı.
Bununla birlikte, QakBot botnet’inin ortadan kaldırılmasıyla stratejik bir değişim meydana geldi ve PikaBot yeni bir alana, yaygın olarak kullanılan AnyDesk gibi iyi niyetli bir yazılım gibi görünen arama motoru reklamlarının aldatıcı ortamına itildi.
Malwarebytes Labs’a göre indirilen MSI yükleyicisi dijital olarak imzalanmış ve VirusTotal’daki herhangi bir antivirüs yazılımı tarafından algılanmamıştır.
Dolaylı sistem çağrıları gibi karmaşık teknikler kullanan bu kötü amaçlı yazılım, kendisini orijinal süreçlere yerleştirerek onu yakalanması zor ve zorlu bir rakip haline getiriyor.
PikaBot’un kötü niyetinin karmaşıklığı, ilk indirmenin ötesine uzanıyor.
Dağıtım mekanizması, bir şaşkınlık senfonisini şu yollarla yönetir:
- Saygın pazarlama platformlarında gizlenen URL’leri takip ederek kullanıcıları, bozulmamış IP adresi gizleme için Cloudflare tarafından korunan özel alanlara yönlendirir.
- Kullanıcının sisteminin orijinalliğini ayırt etmek için JavaScript parmak izi alma, yalnızca gerçek kullanıcıların son aşamaya ilerlemesine olanak tanır.
- AnyDesk gibi ünlü yazılımlar gibi görünen tuzak sayfaları, kötü amaçlı yükü açığa çıkarmadan önce kullanıcıları aldatıcı bir yola yönlendiriyor.
Kötü Amaçlı Reklamcılık Ekosisteminin Ortaya Çıkarılması
PikaBot’un aldatıcı karmaşıklıkları, Zoom ve Slack gibi platformları hedef alan daha önceki kötü amaçlı reklamcılık çabalarına benziyor.
Araştırmacılar benzer yönlendirme mekanizmaları ve URL yapıları belirlediler; bu da tehdit aktörlerinin karmaşık aldatma araçları kiraladığı akla yatkın bir “hizmet olarak kötü amaçlı reklamcılık” paradigmasına işaret ediyor.
PikaBot’un yeniden dirilişi, endişe verici bir eğilimi, daha karmaşık bir görünümde de olsa, arabadan indirmelerin yeniden canlanmasını ifade ediyor.
Geçmişteki istismar kitleri ve güvenliği ihlal edilmiş web siteleri döneminin aksine, bu saldırılar, arama motorlarına duyulan güvenden yararlanarak kötü amaçlı yazılımları doğrudan ekranlarımıza dağıtıyor.
Bu, işletmelere geleneksel çevre savunmalarını aşmaları konusunda sert bir uyarı görevi görüyor. Güvenli uygulama depoları oluşturmak ve çalışanlar arasında çevrimiçi uyanıklığı teşvik etmek, yaklaşan kötü amaçlı reklamcılık tehdidine karşı zorunlu kalkanlar haline geliyor.
PikaBot yüklü yükleyicilerin tespiti ve ele geçirilmesi ve kötü amaçlı reklamların Google ve Dropbox gibi dijital kapı denetleyicilerine aktif olarak rapor edilmesi, devam eden bu dijital savaşın kritik bileşenlerini oluşturur.